CN116389031A - 一种恶意邮件检测方法、装置、存储介质及电子设备 - Google Patents
一种恶意邮件检测方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN116389031A CN116389031A CN202211710154.0A CN202211710154A CN116389031A CN 116389031 A CN116389031 A CN 116389031A CN 202211710154 A CN202211710154 A CN 202211710154A CN 116389031 A CN116389031 A CN 116389031A
- Authority
- CN
- China
- Prior art keywords
- detection
- determining
- detected
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 239
- 238000000034 method Methods 0.000 claims abstract description 59
- 230000005856 abnormality Effects 0.000 claims abstract description 21
- 230000002159 abnormal effect Effects 0.000 claims description 69
- 238000010586 diagram Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本公开涉及信息安全领域,特别是涉及一种恶意邮件检测方法、装置、存储介质及电子设备。该方法包括:将待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件均作为检测目标;对每一检测目标分别进行对应的若干信息异常检测处理,得到每一信息异常检测处理对应的检测结果;如果若干检测结果满足第一预设条件,则将待检测邮件确定为恶意邮件。由此,本公开中对恶意邮件的检测是基于对待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件的检测进行的,进而可以对待检测邮件进行更全面的检测,以提高恶意邮件检测的检测准确度。
Description
技术领域
本公开涉及信息安全领域,特别是涉及一种恶意邮件检测方法、装置、存储介质及电子设备。
背景技术
目前攻击者会通过发送恶意邮件的手段获取恶意邮件接收方的一些保密信息,因此检测电子邮件是否为恶意邮件是十分必要的。
在检测电子邮件的过程中,一方面是检测电子邮件中是否包括恶意文件、病毒或木马等恶意信息,若包括,则该电子邮件确定为恶意邮件。另一方面是检测电子邮件的正文内容中的嵌套信息,以将嵌套信息为恶意信息的电子邮件确定为恶意邮件。
但是,攻击者通过电子邮件进行攻击的攻击策略是较为多样化的,进而电子邮件中被攻击者恶意修改的信息的位置是难以准确定位的,仅通过对电子邮件的附件和正文内容进行恶意信息检测以确定电子邮件是否为恶意邮件是较为片面的,因此恶意邮件检测的检测准确度较低。
发明内容
针对上述恶意邮件检测的检测准确度较低的技术问题,本公开采用的技术方案为:
根据本公开的一方面,提供了一种恶意邮件检测方法,包括:
将待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件均作为检测目标。
对每一检测目标分别进行对应的若干信息异常检测处理,得到每一信息异常检测处理对应的检测结果。
如果若干检测结果满足第一预设条件,则将待检测邮件确定为恶意邮件。
根据本公开的另一方面,还提供了一种恶意邮件检测装置,包括:
解析模块,用于将待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件均作为检测目标。
检测模块,用于对每一检测目标分别进行对应的若干信息异常检测处理,得到每一信息异常检测处理对应的检测结果。
确定模块,用于在若干检测结果满足第一预设条件时,将待检测邮件确定为恶意邮件。
根据本公开的另一方面,还提供了一种非瞬时性计算机可读存储介质,存储介质中存储有至少一条指令或至少一段程序,至少一条指令或至少一段程序由处理器加载并执行以实现上述恶意邮件检测方法。
根据本公开的另一方面,还提供了一种电子设备,包括处理器和上述非瞬时性计算机可读存储介质。
本公开的实施例提供的技术方案可以包括以下有益效果:
本公开中通过对待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件分别进行对应的若干信息异常检测处理,并通过每一信息异常检测处理对应的检测结果确定待检测邮件是否为恶意邮件。相比于仅通过对电子邮件的附件和正文内容进行恶意信息检测以确定电子邮件是否为恶意邮件,本公开中对恶意邮件的检测是基于对待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件的检测进行的,即本公开中对恶意邮件的检测是基于待检测邮件的更多部分的信息进行的,进而可以对待检测邮件进行更全面的检测,以提高恶意邮件检测的检测准确度。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
为了更清楚地说明本公开实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图;此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1是根据一示例性实施例示出的恶意邮件检测方法的流程图。
图2是根据一示例性实施例示出的恶意邮件检测装置的示意性框图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
本公开实施例提供了一种恶意邮件检测方法,其中,该方法可以由以下任意一项或其任意组合完成:服务器、其他具备处理能力的设备,本公开实施例对此不作限定。
本公开实施例以服务器为例,下面将参照图1所示的恶意邮件检测方法的流程图,对恶意邮件检测方法进行介绍。
该方法包括以下步骤:
S100,将待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件均作为检测目标。
具体的,待检测邮件为电子邮件。例如,待检测邮件为通过smtp(SimpleMailTransfer Protocol,简单邮件传输协议)发送的电子邮件。
上述步骤S100的一种具体的实施方式可以为,服务器可以获取待检测邮件,然后对待检测邮件进行解析和拆分。若待检测邮件具有邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件,则服务器将拆分得到的待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件均作为检测目标;若待检测邮件不具有邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件中的任一,则服务器将拆分得到的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件这五个数据信息中,待检测邮件具有的每一数据信息均作为检测目标。
S200,对每一检测目标分别进行对应的若干信息异常检测处理,得到每一信息异常检测处理对应的检测结果。
上述步骤S200的一种具体的实施方式可以为,在服务器得到若干检测目标后,对每一检测目标均进行其对应的若干信息异常检测处理,以得到每一检测目标对应的若干检测结果,其中,一个检测结果与一个信息异常检测处理一一对应。
S300,如果若干检测结果满足第一预设条件,则将待检测邮件确定为恶意邮件。
上述步骤S300的一种具体的实施方式可以为,如果若干检测结果中表示对应的检测目标异常的检测结果的数量大于预设的数量,则将该待检测邮件确定为恶意邮件。预设的数量可以根据待检测邮件对应的信息异常检测处理的总数得到,例如,预设的数量为待检测邮件对应的信息异常检测处理的总数的三分之一。
由此可知,本公开中通过对待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件分别进行对应的若干信息异常检测处理,并通过每一信息异常检测处理对应的检测结果确定待检测邮件是否为恶意邮件。相比于仅通过对电子邮件的附件和正文内容进行恶意信息检测以确定电子邮件是否为恶意邮件,本公开中对恶意邮件的检测是基于对待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件的检测进行的,即本公开中对恶意邮件的检测是基于待检测邮件的更多部分的信息进行的,进而可以对待检测邮件进行更全面的检测,以提高恶意邮件检测的检测准确度。
可选的,上述步骤S300,包括以下步骤:
S310,如果若干检测结果满足第二预设条件,则获取收件方服务器在预设时间段内接收到的与待检测邮件符合预设相似条件的邮件的数量作为目标数量。
其中,收件方服务器为待检测邮件对应的收件方的服务器。
具体的,预设时间段可以为以当前时间为结束时间,且以预设时长为总时长的时间段。预设时长可以根据实际需求进行设置,本公开实施例对此不作限定,例如,预设时长可以设置为1小时。
S320,如果若干检测结果满足若干第三预设条件中的任一或目标数量达到第一预设数量,则将待检测邮件确定为恶意邮件。
具体的,第一预设数量可以根据收件方服务器在预设时间段内接收到的邮件的总数量进行确定,例如,第一预设数量为收件方服务器在预设时间段内接收到邮件的总数量的五分之一。
由此可知,如果若干检测结果满足第二预设条件,则说明待检测邮件较为异常,此时可以获取收件方服务器在预设时间段内接收到的与待检测邮件符合预设相似条件的邮件的数量作为目标数量,已通过目标数量进一步明确待检测邮件是否为恶意邮件,若收件方服务器在预设时间段内接收到的与待检测邮件符合预设相似条件的邮件的数量达到第一预设数量,则说明攻击者是向收件方服务器对应的不同收件方较为集中的发送大量的与待检测邮件较为相似的邮件,此时将待检测邮件确定为恶意邮件可以减小将正常邮件误判为恶意邮件的可能性,提高恶意邮件检测的检测准确度。
另外,不是仅仅通过将目标数量达到第一预设数量这一个条件进行恶意邮件的确定,而是通过多条件进行恶意邮件的确定,进而可以确定出更多的攻击策略对应的恶意邮件,进一步提高恶意邮件检测的检测准确度。
可选的,上述获取收件方服务器在预设时间段内接收到的与待检测邮件符合预设相似条件的邮件的数量作为目标数量,包括以下步骤:
S311,获取收件方服务器在预设时间段内接收到的,且邮件信息与待检测邮件的邮件信息相同的邮件的数量作为目标数量。
其中,邮件信息包括发件地址信息、发件方名称、收件方名称、代理服务器的服务器标识、邮件标题和/或邮件正文内容信息。
上述获取收件方服务器在预设时间段内接收到的与待检测邮件符合预设相似条件的邮件的数量作为目标数量的另一种具体的实施方式可以为,获取收件方服务器在预设时间段内接收到的,且邮件信息与待检测邮件的邮件信息相似度达到预设阈值的邮件的数量作为目标数量,预设阈值可以为80%-100%,优选的,预设阈值设置为90%。
可选的,每一信息异常检测处理具有对应的信息异常预设条件;检测结果为异常标识或正常标识;异常标识用于表示对应的检测目标满足该异常标识对应的信息异常预设条件,正常标识用于表示对应的检测目标不满足该正常标识对应的信息异常预设条件。
基于此,上述如果若干检测结果满足第二预设条件,包括:
如果为异常标识的检测结果的数量达到第二预设数量。
具体的,第二预设数量可以根据待检测邮件对应的信息异常检测处理的总数得到的,例如,第二预设数量可以为待检测邮件对应的信息异常检测处理的总数的三分之一。本公开实施例对此不作限定。
可选的,邮件头对应的若干信息异常检测处理至少用于执行以下步骤:
S201,确定邮件头中的发件方名称中是否包括预设的第一关键词;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
其中,第一关键词可以为机密、领导、工作任务或工资调整等可以吸引收件人打开的关键词。
S202,确定邮件头中的若干发件地址信息是否不同;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
其中,邮件头中的若干发件地址信息可以分别为邮件头中的Return_Path字段名、From字段名和Sender字段名对应的字段内容。
S203,确定邮件头中是否包括抄送方信息;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S204,确定邮件头中的发件地址信息和回复地址信息是否不同;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S205,确定邮件头中的退件地址信息和回复地址信息是否不同;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
具体的,上述步骤S201、步骤S202、步骤S203、步骤S204和步骤S205中的任一均为邮件头对应的一个信息异常检测处理的执行步骤。
邮件头对应的若干信息异常检测处理还可以用于执行以下步骤:
S206,若邮件头中包括发件方标识,则确定发件方标识与邮件头中From字段名对应的字段内容中的发件方标识是否不同;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。其中,发件方标识可以为发件域名或发件地址信息。邮件头中的发件方标识可以为received字段对应的字段内容中的发件方标识。例如,邮件头的received字段对应的字段内容中参数from、参数by、参数via、参数with、参数id和参数for;其中,参数from对应的参数内容为发件方标识,参数by对应的参数内容为收件方标识、参数via对应的参数内容为代理服务器标识,参数with对应的参数内容为邮件协议,参数id用于标识对应的邮件;参数for对应的参数内容为收件地址信息。对应的,邮件头中的发件方标识可以为received字段中的参数from对应的参数内容。
S207,确定邮件头的封装边界字符串中是否不包括每一预设的特征字符串;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。其中,预设的特征字符串可以为qq、163或outlook等常见的邮箱标识。
S208,确定邮件头中是否包括目标字段名对应的字段内容;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。其中,目标字段名为Return_Path、Reply_to、X_Ori_ip或X_Mai_ler等,本公开实施例对此不作限定。
可选的,邮件标题对应的若干信息异常检测处理至少用于执行以下步骤:
S209,确定邮件标题中是否包括预设的特殊字符;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。其中,特殊字符可以为“#”、“&&”或“%”等字符,本公开实施例对此不作限定。
S210,确定邮件标题中是否包括html标签;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S211,确定邮件标题中是否包括IP地址;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S212,确定邮件标题中是否包括端口号;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S213,确定邮件标题是否为数字;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S214,确定邮件标题中是否包括预设的第二关键词;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。其中,预设的第二关键词可以为工资信息、岗位调整或财务信息等关键词。
可选的,邮件正文的文字部分对应的若干信息异常检测处理至少用于执行以下步骤:
S215,确定邮件正文的文字部分中是否包括预设的特殊字符;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S216,确定邮件正文的文字部分中预设的第三关键词;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。其中,预设的第三关键词可以为工资信息、岗位调整或财务信息等关键词。
S217,确定邮件正文的文字部分中是否包括IP地址;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S218,确定邮件正文的文字部分中是否包括短链接;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S219,确定邮件正文的文字部分中是否包括文件下载地址或云盘链接;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S220,确定邮件正文的文字部分中是否包括端口号;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S221,确定邮件正文的文字部分中是否包括2组或2组以上的预设参数;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。其中,一组预设参数为from和to。
可选的,邮件正文的超文本标记语言部分对应的若干信息异常检测处理至少用于执行以下步骤:
S222,确定邮件正文的超文本标记语言部分中是否包括预设的特殊字符;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S223,确定邮件正文的超文本标记语言部分中预设的第三关键词;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S224,确定邮件正文的超文本标记语言部分中是否包括IP地址;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S225,确定邮件正文的超文本标记语言部分中是否包括短链接;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S226,确定邮件正文的超文本标记语言部分中是否包括文件下载地址或云盘链接;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S227,确定邮件正文的超文本标记语言部分中是否包括端口号;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S228,确定邮件正文的超文本标记语言部分中是否包括2组或2组以上的预设参数;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
可选的,邮件附件对应的若干信息异常检测处理至少用于执行以下步骤:
S229,确定邮件附件的名称中是否包括html标签;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S230,确定邮件附件是否是压缩文件;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S231,确定邮件附件是否加密;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S232,确定邮件附件中是否为PE文件;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S233,确定邮件附件中是否为vbs或rtf文件;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
S234,确定邮件附件中的图片中是否包括恶意二维码;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。其中,恶意二维码为对应的信息为恶意信息的二维码。
基于此,可选的,上述若干第三预设条件中的一个第三预设条件可以设置为:邮件头对应的异常标识的数量大于0,且邮件正文的文字部分或者邮件正文的超文本标记语言部分对应的第三关键词对应的异常标识的数量大于1,且邮件附件和邮件标题对应的异常标识的数量大于1,且存在邮件附件对应的PE文件对应的异常标识。若干第三预设条件中的每一第三预设条件均可以根据实际需求进行设定,本公开实施例对此不作限定。
可选的,在步骤S200之前,可以将邮件正文中的每一图片均作为检测目标。
基于此,邮件正文中的每一图片对应的若干信息异常检测处理至少用于执行以下步骤:
S235,确定该图片中是否包括恶意二维码;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
可选的,上述步骤S100包括以下步骤:
S110,响应于目标服务器得到接收待检测邮件的请求,将待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件均作为检测目标。
具体的,目标服务器可以为待检测邮件对应的接收方的服务器。
因此,本公开可以减小目标服务器直接接收到恶意邮件的可能性,进而可以减小恶意邮件在未被识别出之前对目标服务器产生攻击性为的可能性,达到了提高目标服务器的信息安全性的目的。
在另一种可能的实施方式中,本公开中的服务器可以为目标服务器,也可以为目标服务器以外的另一个服务器。本公开实施例对此不作限定。
可选的,在上述步骤S300之后,该方法还包括以下步骤:
S400,若待检测邮件被确定为恶意邮件,则展示提示信息。
S500,将待检测邮件存储至预设存储空间。
具体的,提示信息可以为提示该待检测邮件为恶意邮件的信息。预设存储空间可以为服务器或目标服务器中的任一存储空间。
可选的,基于本公开中的服务器为目标服务器以外的另一个服务器,在上述步骤S300之后,该方法还包括以下步骤:
S600,若待检测邮件未被确定为恶意邮件,则通过邮件重组程序将待检测邮件还原为原始邮件数据流并转发至目标服务器。
本公开实施例还提供了一种恶意邮件检测装置,该装置用于实现上述恶意邮件检测方法。参照图2所示的恶意邮件检测装置的示意性框图,恶意邮件检测装置700包括:解析模块701、检测模块702和确定模块703。
解析模块701,用于将待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件均作为检测目标。
检测模块702,用于对每一检测目标分别进行对应的若干信息异常检测处理,得到每一信息异常检测处理对应的检测结果。
确定模块703,用于在若干检测结果满足第一预设条件时,将待检测邮件确定为恶意邮件。
可选的,确定模块703,还用于:
如果若干检测结果满足第二预设条件,则获取收件方服务器在预设时间段内接收到的与待检测邮件符合预设相似条件的邮件的数量作为目标数量;收件方服务器为待检测邮件对应的收件方的服务器。
如果若干检测结果满足若干第三预设条件中的任一或目标数量达到第一预设数量,则将待检测邮件确定为恶意邮件。
可选的,确定模块703,还用于:
获取收件方服务器在预设时间段内接收到的,且邮件信息与待检测邮件的邮件信息相同的邮件的数量作为目标数量;邮件信息包括发件地址信息、发件方名称、收件方名称、代理服务器的服务器标识、邮件标题和/或邮件正文内容信息。
可选的,每一信息异常检测处理具有对应的信息异常预设条件;检测结果为异常标识或正常标识;异常标识用于表示对应的检测目标满足该异常标识对应的信息异常预设条件,正常标识用于表示对应的检测目标不满足该正常标识对应的信息异常预设条件。
基于此,上述如果若干检测结果满足第二预设条件,包括:
如果为异常标识的检测结果的数量达到第二预设数量。
可选的,邮件头对应的若干信息异常检测处理至少用于执行以下步骤:
确定邮件头中的发件方名称中是否包括预设的第一关键词;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
确定邮件头中的若干发件地址信息是否不同;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
确定邮件头中是否包括抄送方信息;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
确定邮件头中的发件地址信息和回复地址信息是否不同;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
确定邮件头中的退件地址信息和回复地址信息是否不同;若是,则将对应的检测结果确定为异常标识,否则,将对应的检测结果确定为正常标识。
可选的,解析模块701,还用于:
响应于目标服务器得到接收待检测邮件的请求,将待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件均作为检测目标。
可选的,该装置还包括存储模块,用于:
若待检测邮件被确定为恶意邮件,则展示提示信息。
将待检测邮件存储至预设存储空间。
本公开的实施例还提供了一种非瞬时性计算机可读存储介质,该存储介质可设置于电子设备之中以保存用于实现方法实施例中一种方法相关的至少一条指令或至少一段程序,该至少一条指令或该至少一段程序由该处理器加载并执行以实现上述实施例提供的方法。
本公开的实施例还提供了一种电子设备,包括处理器和前述的非瞬时性计算机可读存储介质。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员还应理解,可以对实施例进行多种修改而不脱离本公开的范围和精神。本公开开的范围由所附权利要求来限定。
Claims (10)
1.一种恶意邮件检测方法,其特征在于,所述方法包括:
将待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件均作为检测目标;
对每一所述检测目标分别进行对应的若干信息异常检测处理,得到每一所述信息异常检测处理对应的检测结果;
如果若干所述检测结果满足第一预设条件,则将所述待检测邮件确定为恶意邮件。
2.根据权利要求1所述的方法,其特征在于,所述如果若干所述检测结果满足第一预设条件,则将所述待检测邮件确定为恶意邮件,包括:
如果若干所述检测结果满足第二预设条件,则获取收件方服务器在预设时间段内接收到的与所述待检测邮件符合预设相似条件的邮件的数量作为目标数量;所述收件方服务器为所述待检测邮件对应的收件方的服务器;
如果若干所述检测结果满足若干第三预设条件中的任一或所述目标数量达到第一预设数量,则将所述待检测邮件确定为恶意邮件。
3.根据权利要求2所述的方法,其特征在于,所述获取收件方服务器在预设时间段内接收到的与所述待检测邮件符合预设相似条件的邮件的数量作为目标数量,包括:
获取收件方服务器在预设时间段内接收到的,且邮件信息与所述待检测邮件的邮件信息相同的邮件的数量作为目标数量;所述邮件信息包括发件地址信息、发件方名称、收件方名称、代理服务器的服务器标识、邮件标题和/或邮件正文内容信息。
4.根据权利要求2所述的方法,其特征在于,每一所述信息异常检测处理具有对应的信息异常预设条件;所述检测结果为异常标识或正常标识;所述异常标识用于表示对应的检测目标满足该异常标识对应的信息异常预设条件,所述正常标识用于表示对应的检测目标不满足该正常标识对应的信息异常预设条件;
所述如果若干所述检测结果满足第二预设条件,包括:
如果为异常标识的检测结果的数量达到第二预设数量。
5.根据权利要求4所述的方法,其特征在于,所述邮件头对应的若干信息异常检测处理至少用于执行以下步骤:
确定所述邮件头中的发件方名称中是否包括预设的第一关键词;若是,则将对应的检测结果确定为所述异常标识,否则,将对应的检测结果确定为所述正常标识;
确定所述邮件头中的若干发件地址信息是否不同;若是,则将对应的检测结果确定为所述异常标识,否则,将对应的检测结果确定为所述正常标识;
确定所述邮件头中是否包括抄送方信息;若是,则将对应的检测结果确定为所述异常标识,否则,将对应的检测结果确定为所述正常标识;
确定所述邮件头中的发件地址信息和回复地址信息是否不同;若是,则将对应的检测结果确定为所述异常标识,否则,将对应的检测结果确定为所述正常标识;
确定所述邮件头中的退件地址信息和所述回复地址信息是否不同;若是,则将对应的检测结果确定为所述异常标识,否则,将对应的检测结果确定为所述正常标识。
6.根据权利要求1所述的方法,其特征在于,所述将待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件均作为检测目标,包括:
响应于目标服务器得到接收所述待检测邮件的请求,将待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件均作为检测目标。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
若所述待检测邮件被确定为恶意邮件,则展示提示信息;
将所述待检测邮件存储至预设存储空间。
8.一种恶意邮件检测装置,其特征在于,所述装置包括:
解析模块,用于将待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件均作为检测目标;
检测模块,用于对每一所述检测目标分别进行对应的若干信息异常检测处理,得到每一所述信息异常检测处理对应的检测结果;
确定模块,用于在若干所述检测结果满足第一预设条件时,将所述待检测邮件确定为恶意邮件。
9.一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如权利要求1-7中任意一项的所述方法。
10.一种电子设备,其特征在于,包括处理器和权利要求9中的所述非瞬时性计算机可读存储介质。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211710154.0A CN116389031A (zh) | 2022-12-29 | 2022-12-29 | 一种恶意邮件检测方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211710154.0A CN116389031A (zh) | 2022-12-29 | 2022-12-29 | 一种恶意邮件检测方法、装置、存储介质及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116389031A true CN116389031A (zh) | 2023-07-04 |
Family
ID=86973762
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211710154.0A Pending CN116389031A (zh) | 2022-12-29 | 2022-12-29 | 一种恶意邮件检测方法、装置、存储介质及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116389031A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117201208A (zh) * | 2023-11-08 | 2023-12-08 | 新华三网络信息安全软件有限公司 | 恶意邮件识别方法、装置、电子设备和存储介质 |
-
2022
- 2022-12-29 CN CN202211710154.0A patent/CN116389031A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117201208A (zh) * | 2023-11-08 | 2023-12-08 | 新华三网络信息安全软件有限公司 | 恶意邮件识别方法、装置、电子设备和存储介质 |
CN117201208B (zh) * | 2023-11-08 | 2024-02-23 | 新华三网络信息安全软件有限公司 | 恶意邮件识别方法、装置、电子设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11516248B2 (en) | Security system for detection and mitigation of malicious communications | |
US10243989B1 (en) | Systems and methods for inspecting emails for malicious content | |
US11277365B2 (en) | Email fraud prevention | |
US10819744B1 (en) | Collaborative phishing attack detection | |
CN109328448B (zh) | 基于网络流数据的垃圾邮件分类系统 | |
US9985978B2 (en) | Method and system for misuse detection | |
US7451487B2 (en) | Fraudulent message detection | |
US10204157B2 (en) | Image based spam blocking | |
US7343624B1 (en) | Managing infectious messages as identified by an attachment | |
US20190052655A1 (en) | Method and system for detecting malicious and soliciting electronic messages | |
JP2008520010A (ja) | Eメールアンチフィッシングインスペクタ | |
US20210266345A1 (en) | User-reported malicious message evaluation using machine learning | |
CN111222856A (zh) | 一种邮件识别方法、装置、设备及存储介质 | |
CN116389031A (zh) | 一种恶意邮件检测方法、装置、存储介质及电子设备 | |
WO2019181005A1 (ja) | 脅威分析システム、脅威分析方法および脅威分析プログラム | |
CN116074278A (zh) | 恶意邮件的识别方法、系统、电子设备和存储介质 | |
CN111259398B (zh) | 病毒防御方法、装置、设备和可读存储介质 | |
CN108965350B (zh) | 一种邮件审计方法、装置和计算机可读存储介质 | |
Morovati et al. | Detection of Phishing Emails with Email Forensic Analysis and Machine Learning Techniques. | |
US11257090B2 (en) | Message processing platform for automated phish detection | |
US11151248B1 (en) | Increasing zero-day malware detection throughput on files attached to emails | |
US20210234891A1 (en) | Artificial intelligence (ai) powered conversational system for identifying malicious messages | |
JP2018151739A (ja) | メール配送装置およびWebプロキシサーバ | |
CN115801721A (zh) | 邮件检测方法及装置 | |
CN117596064A (zh) | 信息阻断方法、系统、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |