CN117857209A - 一种邮件安全检测方法、装置和系统 - Google Patents

一种邮件安全检测方法、装置和系统 Download PDF

Info

Publication number
CN117857209A
CN117857209A CN202410129460.8A CN202410129460A CN117857209A CN 117857209 A CN117857209 A CN 117857209A CN 202410129460 A CN202410129460 A CN 202410129460A CN 117857209 A CN117857209 A CN 117857209A
Authority
CN
China
Prior art keywords
mail
security
attachment
mail attachment
detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410129460.8A
Other languages
English (en)
Inventor
周赵军
于扬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Sky Guard Network Security Technology Co ltd
Beijing Skyguard Network Security Technology Co ltd
Original Assignee
Chengdu Sky Guard Network Security Technology Co ltd
Beijing Skyguard Network Security Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Sky Guard Network Security Technology Co ltd, Beijing Skyguard Network Security Technology Co ltd filed Critical Chengdu Sky Guard Network Security Technology Co ltd
Priority to CN202410129460.8A priority Critical patent/CN117857209A/zh
Publication of CN117857209A publication Critical patent/CN117857209A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/42Mailbox-related aspects, e.g. synchronisation of mailboxes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种邮件安全检测方法、装置和系统,涉及信息安全技术领域。该方法实施方式可包括:将邮件安全网关发送的邮件附件与存储的一种或多种病毒的特征集合匹配,一种或多种病毒的特征集合包括的病毒特征基于历史邮件附件确定;根据匹配的结果,确定邮件附件的安全检测结果,并响应于邮件安全网关的结果获取请求,将安全检测结果返回给邮件安全网关,以使邮件安全网关根据安全检测结果,处理邮件附件;在邮件附件的安全检测结果指示附件合法的情况,将邮件附件发送给云沙箱,使云沙箱对邮件附件进行安全分析;在安全分析结果指示附件非法情况,基于邮件附件或者安全分析结果,更新特征集合。以有效地减少邮件病毒附件漏报,提升邮件安全性。

Description

一种邮件安全检测方法、装置和系统
技术领域
本发明涉及信息安全技术领域,尤其涉及一种邮件安全检测方法、装置和系统。
背景技术
长期以来,钓鱼邮件一直是网络攻击的主要手段。据报道,七成的网络攻击始于钓鱼邮件。病毒邮件作为钓鱼邮件的一种常见类型,是指电子邮件内包含病毒,在浏览邮件中的链接或下载附件的过程中触发病毒文件,导致计算机被病毒感染的一种攻击形式。特别地,对于病毒附件,针对病毒附件,其所包括的字符串可存在比较多的变形,使用现有的基于病毒附件中的文件内容(位于病毒附件中的字符串等)生成的特征码或者哈希值匹配邮件附件黑名单或者邮件附件白名单的准确性较差。比如,病毒附件中的文件内容一旦发生变化或者变形,其特征码或者哈希值也将发生变化,此时通过特征码或者哈希值匹配很难发现发生变形的病毒附件,导致病毒附件漏检,邮件安全仍然存在比较大的隐患。
发明内容
有鉴于此,本发明实施例提供一种邮件安全检测方法、装置和系统,能够有效地减少邮件病毒附件漏报,提升邮件安全性。
为实现上述目的,第一方面,本发明实施例提供了一种邮件安全检测方法,包括:
接受邮件安全网关关于特定邮件附件的文件哈希值的检测结果查询,并返回所述邮件附件的检测结果,以使所述邮件安全网关根据所述安全检测结果,处理所述邮件附件;
接收邮件安全网关发送的邮件附件,将所述邮件附件与存储的一种或多种病毒的特征集合进行匹配,并根据匹配的结果,确定所述邮件附件的安全检测结果。其中,一种或多种病毒的所述特征集合包括的病毒特征基于历史邮件附件确定;
在所述邮件附件的安全检测结果指示附件合法的情况,将所述邮件附件发送给云沙箱,以使所述云沙箱对所述邮件附件进行安全分析;
从所述云沙箱获取针对所述邮件附件的安全分析结果,在所述安全分析结果指示附件非法的情况下,基于所述邮件附件的安全分析结果,更新所述特征集合。
可选地,上述邮件安全检测方法,还包括:
在所述邮件安全网关基于邮件附件的文件哈希值查询不到检测记录时,执行所述接收邮件安全网关发送的邮件附件的步骤。
可选地,上述邮件安全检测方法,还包括:从所述云沙箱发送的针对所述邮件附件的安全分析结果中读取病毒特征,并将所述病毒特征组合成特征集合。
可选地,上述邮件安全检测方法,还包括:
将接收到的所述邮件安全网关发送的所述邮件附件存储到本地磁盘;
所述将所述邮件附件发送给云沙箱,包括:
将所述本地磁盘存储的指示合法的邮件附件发送给云沙箱。
可选地,所述邮件安全检测方法,还包括:
向搭载云沙箱的运行平台发送资源获取请求,并接收所述运行平台反馈的针对所述云沙箱的可用资源;
基于针对所述云沙箱的可用资源,执行所述将所述邮件附件发送给云沙箱的步骤。
可选地,在所述接收邮件安全网关发送的邮件附件之后,进一步包括:
为所述邮件附件生成安全检测任务,基于所述邮件附件为所述安全检测任务确定初始信息、任务管理信息,并将所述初始信息、任务状态及任务管理信息存储到数据库;
根据所述邮件附件与存储的一种或多种病毒的特征集合匹配的结果或者所述云沙箱针对所述邮件附件的安全分析结果,更新所述任务管理信息。
可选地,上述邮件安全检测方法,还包括:
定时从所述数据库中获取任务状态指示检测中的安全检测任务的附件信息;
根据所述附件信息,从所述云沙箱获取针对所述邮件附件的安全分析结果。
可选地,所述接收邮件安全网关发送的邮件附件,将所述邮件附件与存储的一种或多种病毒的特征集合进行匹配的步骤;在邮件安全网关查询邮件附件检测结果时,所述确定所述邮件附件的安全检测结果,将所述安全检测结果返回给所述邮件安全网关的步骤以及所述将所述邮件附件发送给云沙箱的步骤基于前端服务接口实现;
所述从所述云沙箱获取到针对所述邮件附件的安全分析结果的步骤及所述基于所述邮件附件的安全分析结果,确定并更新新的特征集合的步骤基于后台服务模块实现。
第二方面,本发明实施例提供一种邮件安全检测装置,包括:查询模块、安全检测模块及管理模块,其中,
所述安全检测模块,用于接收邮件安全网关发送的邮件附件,将所述邮件附件与存储的一种或多种病毒的特征集合进行匹配,其中,一种或多种病毒的所述特征集合所包括的病毒特征基于历史邮件附件确定出;根据匹配的结果,确定所述邮件附件的安全检测结果;在所述邮件附件的安全检测结果指示附件合法的情况,将所述邮件附件发送给云沙箱,以使所述云沙箱对所述邮件附件进行安全分析;
所述查询模块,用于响应于所述邮件安全网关的结果获取请求,将所述安全检测结果返回给所述邮件安全网关,以使所述邮件安全网关根据所述安全检测结果,处理所述邮件附件;接收所述邮件安全网关对所述邮件附件的所述安全检测结果的查询,并将所述安全检测结果返回给所述邮件安全网关,以使所述邮件安全网关根据所述安全检测结果,处理所述邮件附件;
所述管理模块,用于从所述云沙箱获取针对所述邮件附件的安全分析结果,在所述安全分析结果指示附件非法的情况下,基于所述邮件附件或者所述安全分析结果,确定并存储新的特征集合。
第三方面,本发明实施例提供一种邮件安全检测系统,包括:云沙箱及上述第二方面实施例提供的邮件安全检测装置。
上述发明中的一个实施例具有如下优点或有益效果:通过将邮件安全网关发送的邮件附件与存储的一种或多种病毒的特征集合匹配,来对邮件附件进行安全检测,得到安全检测结果,相比于云沙箱通过运行邮件附件检测邮件附件安全性,该特征集合匹配的方式检测效率更高,使邮件安全网关能够根据安全检测结果及时拦截或者放行邮件附件。另外,针对邮件附件的安全检测结果指示附件合法的情况,通过云沙箱进一步安全分析,在云沙箱安全分析结果指示附件非法后,确定出新的特征集合,通过更新特征集合,扩展了病毒的特征集合,后续可以基于特征集合快速匹配到病毒,保证邮件附件安全检测效率的同时,能够有效地提升邮件附件安全检测准确性,提高邮件的安全性。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是本发明实施例可以应用于其中的示例性系统架构图;
图2是根据本发明实施例的一种邮件安全检测方法的主要流程的示意图;
图3是根据本发明实施例的邮件安全检测方法中任务管理的主要流程示意图;
图4是根据本发明实施例的邮件安全检测装置的主要模块的示意图;
图5是根据本发明实施例的邮件安全检测系统的主要设备的示意图;
图6是根据本发明实施例的前端服务接口与邮件安全网关处理邮件附件的主要流程示意图;
图7是根据本发明实施例的后台服务模块与云沙箱结合进行邮件安全检测的主要流程示意图;
图8是适于用来实现本发明实施例的包含前端服务接口和后台服务模块的设备的计算机系统的结构示意图。
具体实施方式
如背景技术所描述,现有针对邮件附件的基于规则的静态检测技术主要分以下两种方式:
特征规则检测:利用特征规则匹配邮件附件的文件内容,如果匹配到则认为是恶意文件。其中,匹配的文件内容可能是二进制数据,也可能是文本字符串或操作码等特征规则计算的结果。
哈希值检测:主要是邮件附件的hash值与黑名单维护的hash值匹配,该哈希值可能是md5值也可能是sha256值。
这两种方式都具有快速检测的效果,是目前主流邮件安全网关的实现方式之一,也是杀毒软件的主要实现方式之一。即现有的邮件附件要么通过邮件安全网关检测,要么通过客户端或者邮件安全网关安装的杀毒软件实现。然而,病毒和杀毒之间的博弈关系决定着病毒的不断变异特性。在病毒变异后,特征码和hash值都会发生变化,从而导致漏报。这就导致病毒的检测方式较大程度依赖威胁情报的支持,需要长期维护庞大的特征码和hash值组成的特征库。而针对企业内部系统而言,显然难以维系庞大的威胁情报特征库,只有定时更新邮件安全网关的病毒特征库。
基于此类情况,部分邮件安全网关又结合沙箱技术,推出了带云沙箱的邮件安全网关,甚至部分网关内置云沙箱检测可在独立、隔离的环境中自动化检测恶意代码、可执行文件、恶意软件、判断是否有异常网络行为、创建进程等高级威胁,从而大大提高了未知恶意软件的识别率。但是,由于云沙箱检测过程主要是,执行邮件附件中包括的未知可执行文件,通过执行后的结果确定邮件附件是否为恶意文件。由于云沙箱执行未知可执行文件需要花费一定的时间,在云沙箱检测时间段内,邮件安全网关为了保证邮件时效性,一般已经将该邮件发送到客户端,仍然无法保证邮件安全性。
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1示出了可以应用本发明实施例的邮件安全检测方法或邮件安全检测装置的示例性系统架构100。
如图1所示,系统架构100可以包括终端设备101、102,网络103、邮件系统服务器104、邮件网关服务器105、邮件安全检测前端106、邮件安全检测后台服务器107、数据库108及搭载云沙箱设备109。网络103用以在终端设备101、102和邮件系统服务器104之间、邮件系统服务器104和邮件网关服务器105之间、邮件网关服务器105和邮件安全检测前端106之间、邮件安全检测前端106和数据库108之间、邮件安全检测后台服务器107和数据库108之间、邮件安全检测前端106和搭载云沙箱设备109之间及邮件安全检测后台服务器107和搭载云沙箱设备109之间提供通信链路的介质。网络103可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
邮件网关服务器105可以通过特征码或者哈希值方式对接收到的邮件进行安全检测,并将接收到的邮件发送给邮件安全检测前端106,将其自身检测安全且邮件安全检测前端106也检测安全的邮件发送给邮件系统服务器104。
邮件系统服务器104可以将其接收到的邮件网关发送的邮件在终端设备101、102通过邮件客户端或者浏览器展示。
邮件安全检测前端106接受邮件网关服务器105发送的关于特定邮件附件文件哈希值的检测结果查询请求,并在数据库108中查询相应的检测结果,然后将该结果提供给邮件网关服务器105,以使邮件网关服务器105根据邮件附件的检测结果进行相应的处理。邮件安全检测前端106将接收到的邮件网关服务器105发送的邮件附件存储到磁盘,并将该邮件附件中的内容与存储的病毒特征集合进行匹配,在为邮件附件匹配到特征集合,确定该邮件附件为病毒文件。在未为邮件附件匹配到特征集合的情况下,将磁盘存储的邮件附件发送给云沙箱设备109。另外,邮件安全检测前端106确定邮件附件的初始数据、检测状态、检测结果等信息,并将这些信息存储到数据库108。
邮件安全检测后台服务器107从搭载云沙箱设备109获取针对邮件附件的安全分析报告,并从安全分析报告中获取特征和检测结果等,并将获取的特征更新到邮件安全检测前端106所使用的特征集合中,将检测结果更新到数据库108中。
搭载云沙箱设备109可以设置有多个虚拟机,各个虚拟机分别搭载一个云沙箱,各个虚拟机搭载的云沙箱分别对不同的邮件附件分别进行安全检测。
终端设备101、102可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于台式机、智能手机、平板电脑等等。
需要说明的是,本发明实施例所提供的邮件安全检测方法一般由邮件安全检测前端106及邮件安全检测后台服务器107搭载云沙箱设备109相配合完成,相应地,邮件安全检测装置的各个模块可分设在邮件安全检测前端106及邮件安全检测后台服务器107中。
应该理解,图1中的终端设备、网络、邮件系统服务器、邮件网关服务器、邮件安全检测前端、邮件安全检测后台服务器、数据库及搭载云沙箱设备的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络、邮件系统服务器、邮件网关服务器、邮件安全检测前端、邮件安全检测后台服务器、数据库及搭载云沙箱设备。
图2是根据本发明实施例的一种邮件安全检测方法的主要流程示意图。如图2所示,该邮件安全检测方法可包括如下步骤:
步骤S201:接收邮件安全网关发送的邮件附件,将邮件附件与存储的一种或多种病毒的特征集合进行匹配,其中,一种或多种病毒的特征集合包括的病毒特征基于历史邮件附件确定;
其中,邮件附件可以是随邮件一起发送的Office文档、PDF、可执行文件、脚本等任意格式的文件。
其中,病毒特征一般是指一种病毒或者病毒文件所带有的不会发生变化的部分比如特征字符串、特征字节码、特征可执行文件的段名、特征哈希值等。
其中,历史邮件附件一般是指在当前时刻之前处理过或者接收到的邮件附件。另外,该历史邮件附件还可以为维护的病毒库中存放的病毒文件等。
其中,特征集合包括的病毒特征基于历史邮件附件确定的具体实现可以为:从云沙箱获取的针对邮件附件的安全分析结果中读取病毒特征,并将病毒特征与当前一种或多种病毒的特征集合融合成新的病毒特征集合。
步骤S202:根据匹配的结果,确定邮件附件的安全检测结果,并响应于邮件安全网关的结果获取请求,将安全检测结果返回给邮件安全网关,以使邮件安全网关根据安全检测结果,处理邮件附件;
可以理解地,在匹配的结果指示为邮件附件匹配到特征集合后,可确定出邮件附件的安全检测结果为附件非法;在匹配的结果指示为邮件附件未匹配到特征集合后,确定出邮件附件的安全检测结果为附件合法。其中,附件非法一般是指该邮件附件可能存在病毒威胁,不安全。附件合法一般是指该邮件附件不存在病毒威胁,具有安全性。步骤S203:针对邮件附件的安全检测结果指示附件合法的情况,将邮件附件发送给云沙箱,以使云沙箱对邮件附件进行安全分析;
即针对邮件安全检测模块使用一种或多种病毒特征集合对邮件附件进行匹配后,未匹配到任何特征的邮件附件再进一步通过云沙箱进行安全分析,以减少漏检情况的发生。
步骤S204:从云沙箱获取针对邮件附件的安全分析结果,在安全分析结果指示附件非法的情况下,基于邮件附件或者安全分析结果,更新特征集合。
即针对通过邮件附件与存储的一种或多种病毒的特征集合进行匹配结果指示邮件附件合法的情况,还进一步通过云沙箱进行安全分析,不仅使云沙箱处理不影响邮件安全网关处理过程,而且在后续可以针对云沙箱安全分析的结果更新特征集合,从而可以在后续检测过程中纠正漏检的情况,以提升检测效率和准确性。
值得说明的是,本发明实施例提供的方案在为邮件安全网关提供服务的过程中,既不会主动向邮件安全网关发送任何数据,也不会修改邮件安全网关的任何数据,仅在邮件安全网关发送请求时,返回执行结果,如邮件附件的检测结果。以避免对邮件安全网关侵入性修改。
另外,本发明实施例提供的邮件安全检测方法通过“前端服务接口”和“后台服务模块”相配合实现。其中,本发明实施例涉及的云沙箱为本发明实施例提供的方案或者产品提供动态检测服务,该云沙箱也不会向本发明实施例提供的产品所涉及的“前端服务接口”和“后台服务模块”主动发送数据,仅在“前端服务接口”和“后台服务模块或者后台服务器”向云沙箱发送请求时返回执行结果,例如该执行结果可以为附件是否上传成功,云沙箱针对某个特定的附件是否已检测完毕等。
在图2所提供的实施例中,通过将邮件安全网关发送的邮件附件与存储的一种或多种病毒的特征集合匹配,来对邮件附件进行安全检测,得到安全检测结果,相比于云沙箱通过运行邮件附件检测邮件附件安全性,该特征集合匹配的方式检测效率更高,使邮件安全网关能够根据安全检测结果及时拦截或者放行邮件附件。另外,针对邮件附件的安全检测结果指示附件合法的情况,通过云沙箱进一步安全分析,在云沙箱安全分析结构指示附件非法后,确定出新的特征集合,扩展了病毒的特征集合,后续可以基于特征集合快速匹配到病毒,保证邮件附件安全检测效率的同时,能够有效地提升邮件附件安全检测准确性,提高邮件的安全性。
本发明实施例是基于病毒的局部性原理,即攻击者一旦向企业内部某用户发送了病毒邮件,不久之后很可能会再次向企业内其他用户发送病毒邮件,那么在短时间内通过特征匹配的方式能够匹配到同样的病毒。
进一步地,上述邮件安全检测方法可还包括:在邮件安全网关检测出邮件附件合法的情况下,执行接收邮件安全网关发送的邮件附件的步骤。即本发明实施例主要是针对邮件安全网关检测出附件合法的邮件附件进一步处理,以减少邮件附件漏检情况的发生。
进一步地,上述邮件安全检测方法可还包括:将接收到的邮件安全网关发送的邮件附件存储到本地磁盘;通过存储到本地磁盘方便后续将邮件附件发送给云沙箱,以提高邮件安全检测效率。
进一步地,上述邮件安全检测方法还包括:发送资源获取请求给搭载云沙箱的运行平台,并接收运行平台反馈的针对云沙箱的可用资源;基于针对云沙箱的可用资源,执行将邮件附件发送给云沙箱的步骤。
具体地,上述将邮件附件发送给云沙箱的具体实施方式包括:将本地磁盘存储的指示合法的邮件附件发送给云沙箱。即只有针对指示合法的邮件附件发送给云沙箱进一步进行安全检测,对于非法的邮件附件则无需云沙箱进一步检测,以保证邮件附件安全检测效率。
进一步地,上述邮件安全检测方法还包括:根据预设的删除策略,删除本地磁盘存储的邮件附件及特征集合。即通过定期清理本地磁盘存储的邮件附件及特征集合,保证存储空间可用。
由于相同或者基于同一病毒变形的邮件附件一般集中在一个时间段内发送,无需长期保存出现很长时间的病毒或者合法的邮件附件,以保证存储空间可用性。
进一步地,在接收邮件安全网关发送的邮件附件之后,如图3所示,该邮件安全检测方法可进一步包括如下步骤:
步骤S301:为邮件附件生成安全检测任务,基于邮件附件为安全检测任务确定初始信息、任务管理信息,并将初始信息、任务状态及任务管理信息存储到数据库;
其中,初始信息可包括邮件附件名称、任务创建时间、任务开始时间等,任务管理信息可包括任务所处的状态比如待检测、检测中、检测中断、检测完成等,任务检测结果比如未检测出、合法、非法等。
步骤S302:根据邮件附件与存储的一种或多种病毒的特征集合匹配的结果或者云沙箱针对邮件附件的安全分析结果,更新任务管理信息。
具体地,上述步骤S301的具体实现条件:在数据库中查询不到邮件附件的信息的情况下,则接收邮件安全网关发送的邮件附件,并为邮件附件生成安全检测任务。
通过任务管理信息管理各个邮件附件的安全检测过程及安全检测结果,方便查找邮件附件的检测结果以及邮件附件的处理过程。
进一步地,上述邮件安全检测方法可还进一步包括:后台服务模块定时从数据库中获取任务状态指示检测中的安全检测任务的附件信息;根据附件信息,向云沙箱发送结果获取请求,以从云沙箱获取针对邮件附件的安全分析结果。
进一步地,上述邮件安全检测方法,还包括:从云沙箱发送的针对邮件附件的安全分析结果中读取病毒特征,并将病毒特征组合成特征集合。
通过上述过程实现扩展和更新特征集合,以进一步提升安全检测准确性。
进一步地,上述邮件安全检测方法可还进一步包括:接收邮件安全网关发送的邮件附件,将邮件附件与存储的一种或多种病毒的特征集合进行匹配的步骤;在邮件安全网关查询邮件附件检测结果时,确定邮件附件的安全检测结果,将安全检测结果返回给邮件安全网关的步骤以及将所述邮件附件发送给云沙箱的步骤基于前端服务接口实现;
从云沙箱获取到针对邮件附件的安全分析结果的步骤以及更新特征集合的步骤基于后台服务模块实现。
也就是说,针对涉及特征集合的步骤比如特征集合更新等,本发明实施例提供的技术方案通过后台服务实现“从云沙箱获取基于邮件附件的安全分析结果更新特征集合”。通过前端服务接口“判断特征集合是否发生更新”、“加载特征集合”以及“使用特征集合对邮件附件进行匹配”。
通过前端服务接口加载后台服务更新的特征集合、执行特征匹配、确定对应于特征匹配的安全检测结果,并通过后台服务模块与云沙箱交互获取云沙箱安全分析结果及更新特征集合,实现特征匹配及确定对应于特征匹配的安全检测结果的步骤与确定云沙箱检测结果和更新特征集合步骤之间解耦合,以方便对不同步骤分别调控及改进,并避免后续的云沙箱检测结果和更新特征集合步骤影响特征匹配过程的效率,从而有效地保证了特征匹配过程的效率。
下面以一个具体实施例详细说明邮件安全检测方法。该邮件安全检测方法可包括如下步骤:
步骤A1:在邮件安全网关检测邮件附件的结果为合法的情况下,接受邮件安全网关关于邮件附件的查询。
比如邮件安全网关针对接收到的邮件1中的合法的邮件附件1和邮件2中非法的邮件附件2以及邮件3中非法的邮件附件3,首先邮件安全网关对三个邮件附件的检测结果均为合法,因此邮件安全网关计算三封邮件附件的文件哈希值,并根据文件哈希值依次向查询模块发送查询请求。由于此时邮件安全检测系统的数据库中尚未有该三封邮件附件的记录,因此返回值均为“记录不存在”。
步骤A2:邮件网关将三封邮件附件均发送给本发明实施例提供的邮件安全检测装置。
安全检测模块接受邮件安全网关发送的检测请求及对应的需要检测的邮件附件文件。
步骤B:将邮件附件存储到本地磁盘;
比如,将上述接收到邮件附件2存储到本地磁盘。
步骤C:为邮件附件生成安全检测任务,基于邮件附件为安全检测任务确定初始信息、任务管理信息,并将初始信息、任务状态及任务管理信息存储到数据库;
该安全检测任务、初始信息、任务管理信息可以通过任务表维护。
比如,为上述接收到的邮件附件2生成安全检测任务,并确定该邮件附件2的初始信息比如邮件附件2的名称、任务创建时间等,任务管理信息比如任务当前状态如待检测、检测中、已检测完成等,任务检测结果比如合法、非法、未检测出等。
步骤D:将邮件附件与存储的一种或多种病毒的特征集合进行匹配,其中,一种或多种病毒的特征集合包括的病毒特征基于历史邮件附件确定;
在每一次匹配之前,该步骤都会先判断病毒特征集合是否已更新,比如此时尚未更新,则直接匹配。
该步骤是将邮件附件中的内容与一种或多种病毒的特征集合中的特征进行匹配,属于同一种病毒或者一种病毒变形的邮件附件,一般具有相同的特征。
该步骤检测过程所需花费的时长很短,因此若是遇到群发的钓鱼邮件,后续邮件安全网关就会极短短时间后再次查询该邮件附件的检测结果,也就能立即响应邮件安全网关的查询请求并返回检测结果了。。
步骤E:根据邮件附件与存储的一种或多种病毒的特征集合匹配的结果,更新任务管理信息;
比如,在上述邮件附件检测完成后,将对应于邮件附件1、邮件附件2、邮件附件3的任务管理信息中的任务状态修改为规则匹配结束。其中邮件附件1和邮件附件2未匹配到任何病毒特征,而邮件附件3则匹配到了病毒特征,因此邮件附件1的检测结果为合法、邮件附件2的检测结果为合法、邮件附件3的检测结果为非法。
步骤F:安全检测模块402发送资源获取请求给搭载云沙箱的运行平台,并接收运行平台反馈的针对云沙箱的可用资源;
步骤G:安全检测模块402向可用的云沙箱发送需要检测的邮件附件;
比如邮件附件1和邮件附件2由于未匹配到任何病毒特征,因此为增强检测准确性,则需要进入云沙箱使用动态检测方法再次检测。同时,更新邮件附件1和邮件附件2对应的任务管理信息中的任务状态为云沙箱检测中。
步骤H:管理模块403定时运行,获取正在云沙箱中的任务,并向云沙箱获取对应任务的运行结果。
比如,此时任务状态为“云沙箱检测中”的任务为邮件附件1和邮件附件2对应的任务。管理模块向云沙箱请求任务执行结果,云沙箱则分别返回两个任务的执行结果,其中邮件附件1为合法,邮件附件2为非法。
进一步的,更新邮件附件1和邮件附件2对应的任务管理信息中的任务状态为云沙箱检测完毕
进一步的,管理模块则分析邮件附件2的检测结果中,详细的检测内容,并提取可用的特征。
进一步的,管理模块将邮件附件2中的病毒特征,更新到当前使用的一种或多种病毒的特征集合中,融合成新的病毒特征集合。
步骤I:查询模块接收邮件安全网关发送的查询请求,查询的是某邮件附件的文件哈希值对应的检测结果。
该步骤同步骤A1,只是查询的文件哈希值可能不同。
进一步的,比如,该邮件附件4的文件哈希值与邮件附件1同,则查询模块直接返回合法。
进一步的,比如,该邮件附件5的文件哈希值与邮件附件3同,则查询模块直接返回非法
进一步的,比如,查询模块在数据库中无法该邮件附件6的文件哈希值,则返回不存在该记录
步骤J:安全检测模块接受邮件网关发送的检测请求以及对应的邮件附件。
该步骤同步骤D,只是提交的邮件附件文件可能不同。因此接上一步,该邮件附件为邮件附件6。
同步骤D,安全检测模块仍然会先判断病毒特征集合是否已更新,此时由于步骤H的操作,病毒特征集合的状态为已更新。
进一步的,将邮件附件6的内容与更新后一种或多种病毒的特征集合中的特征进行匹配。由于属于同一种病毒或者一种病毒变形的邮件附件,一般具有相同的特征,而邮件附件6中的病毒和邮件附件2中的病毒属于同一家族的变种,因此匹配到了病毒特征。
步骤K:根据邮件附件6与存储的一种或多种病毒的特征集合匹配的结果,更新任务管理信息;
比如邮件附件6的任务状态为规则匹配结束,检测结果为非法。
至此,本案收集到了近期邮件安全网关接收到的所有合法邮件附件信息,以及通过病毒特征可匹配到的恶意邮件附件信息。同时,通过更新病毒特征集合的方式,使得原本需要进入云沙箱才能检测到的恶意邮件附件,亦可通过病毒特征集合匹配的方式被快速检测到。
图4是本发明实施例提供的一种邮件安全检测装置的结构示意图。如图4所示,该邮件安全检测400可包括:查询模块401、安全检测模块402及管理模块403,其中,
查询模块401,用于响应于邮件安全网关的结果获取请求,将安全检测结果返回给邮件安全网关,以使邮件安全网关根据安全检测结果,处理邮件附件;
安全检测模块402,用于接收邮件安全网关发送的邮件附件,将邮件附件与存储的一种或多种病毒的特征集合进行匹配,其中,一种或多种病毒的特征集合所包括的病毒特征基于历史邮件附件确定出;根据匹配的结果,确定邮件附件的安全检测结果;在邮件附件的安全检测结果指示附件合法的情况,将邮件附件发送给云沙箱,以使云沙箱对邮件附件进行安全分析。
在本发明实施例中,安全检测模块402,进一步用于若在数据库中查询不到邮件附件的信息,则接收邮件安全网关发送的邮件附件,并为邮件附件生成安全检测任务。在使用一种或多种病毒的特征集合对邮件附件进行匹配后,将匹配结果写入数据库。
在本发明实施例中,安全检测模块402,进一步用于将接收到的邮件安全网关发送的邮件附件存储到本地磁盘;
安全检测模块402,进一步用于为邮件附件生成安全检测任务,基于邮件附件为安全检测任务确定初始信息、任务管理信息,并将初始信息、任务状态及任务管理信息存储到数据库;根据邮件附件与存储的一种或多种病毒的特征集合匹配的结果更新任务管理信息。
安全检测模块402,进一步用于将本地磁盘存储的指示合法的邮件附件发送给云沙箱。
在本发明实施例中,管理模块403,用于从云沙箱获取针对邮件附件的安全分析结果,在安全分析结果指示附件非法的情况下,基于邮件附件或者安全分析结果,提取邮件附件的病毒特征,并与当前一种或多种病毒的特征集合融合成新的病毒特征集合。
进一步的,获取云沙箱分析结果后,更新数据库中对应邮件附件的任务管理信息中的任务状态为云沙箱检测完毕。
在本发明实施例中,查询模块401和安全检测模块402设置于前端服务接口;管理模块403为后台服务模块。
如图5所示,本发明实施例提供一种邮件安全检测系统500,该邮件安全检测系统500可包括:云沙箱501及上述实施例提供的邮件安全检测装置400。
下面以图5所给的系统中各个设备之间交互为例,详细说明邮件案件检测方法,如图6和图7所示。其中,图6示出的是前端API与邮件安全网关同时处理邮件附件的过程,具体地,如图6所示,在前端API与邮件安全网关同时处理邮件附件的过程中,该邮件安全检测方法可包括如下步骤:
步骤S601:邮件安全网关向本案安全检测模块的前端服务接口(以下称前端API)发送关于特定邮件附件文件哈希值的查询请求。
步骤S602:前端API返回关于邮件附件文件哈希的检测结果,或返回记录不存在。
若前端API在数据库中根据邮件附件的文件哈希值,查询到对应的邮件附件的检测结果为合法或非法,则返回给邮件网关。邮件网关根据检测结果对邮件附件和对应的邮件做出对应的处理。若前端API在数据库中根据邮件附件的文件哈希值,无法查询到记录,则进入下一步。
步骤S603:邮件安全网关发送邮件附件给邮件安全检测装置的前端API。
步骤S604:前端API将邮件附件存储到本地磁盘。
步骤S605:前端API为邮件附件生成安全检测任务,基于邮件附件为安全检测任务确定初始信息、任务管理信息。
步骤S606:前端API将初始信息、任务状态及任务管理信息存储到数据库。
步骤S607:前端API判断病毒特征集合是否有更新,若存在更新,则加载更新后的病毒特征集合。
进一步的,病毒特征集合由后台服务模块更新。
进一步的,前端API,会在系统启动时就加载病毒特征集合,因此若无更新,这里就不会重复加载。
步骤S608:前端API将邮件附件与存储的一种或多种病毒的特征集合进行匹配。
其中,一种或多种病毒的特征集合包括的病毒特征基于历史邮件附件确定;
步骤S609:前端API根据邮件附件与本地磁盘存储的一种或多种病毒的特征集合匹配的结果,更新任务管理信息。
步骤S610:前端API根据匹配的结果,当匹配到病毒特征时,更新数据库中的检测结果为非法,否则更新检测结果为合法。
步骤S611:前端API根据匹配的结果,判断是否需要将邮件附件送云沙箱二次检测。
当判断出邮件附件匹配到病毒特征时,流程结束。
当判断出邮件附件未匹配到任何病毒特征时,进入下一步。
步骤612:前端API向云沙箱发送资源申请请求,获取可用的云沙箱资源。
步骤613:前端API向云沙箱提交检测请求以及对应的邮件附件。
步骤614:前端API更新数据库中任务管理信息中的任务状态为云沙箱检测中。
进一步地,在前端API针对邮件附件的安全检测结果指示附件合法的情况,如图7所示,该邮件安全检测方法可进一步包括如下步骤:
步骤S701:后台服务模块定时从数据库中获取任务状态为云沙箱检测中的安全检测任务的任务信息。
步骤S702:后台服务模块根据附件信息中指示检测中的信息,发送安全分析结果获取请求给云沙箱,并从云沙箱获取针对邮件附件的安全分析结果。
步骤S703:后台服务模块针对邮件附件的安全分析结果,更新任务管理信息;在安全分析结果指示附件非法的情况下,执行步骤下一步;在安全分析结果指示附件合法的情况下,直接结束当前流程。
步骤S704:后台服务模块基于邮件附件的安全分析结果,提取对应病毒特征并与当前一种或多种病毒的特征集合融合成新的病毒特征集合。
另外,后台服务还根据预设的清理策略,清理本地磁盘存储的文件。
下面参考图8,其示出了适于用来实现本发明实施例的包含前端服务接口和后台服务模块的设备的计算机系统800的结构示意图。图8示出的设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图8所示,计算机系统800包括中央处理单元(CPU)801,其可以根据存储在只读存储器(ROM)802中的程序或者从存储部分808加载到随机访问存储器(RAM)803中的程序而执行各种适当的动作和处理。在RAM 803中,还存储有系统800操作所需的各种程序和数据。CPU 801、ROM 802以及RAM 803通过总线804彼此相连。输入/输出(I/O)接口805也连接至总线804。
以下部件连接至I/O接口805:包括键盘、鼠标等的输入部分806;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分807;包括硬盘等的存储部分808;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至I/O接口805。可拆卸介质811,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器810上,以便于从其上读出的计算机程序根据需要被安装入存储部分808。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分809从网络上被下载和安装,和/或从可拆卸介质811被安装。在该计算机程序被中央处理单元(CPU)801执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括查询模块、安全检测模块及管理模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,查询模块还可以被描述为“将安全检测结果返回给邮件安全网关的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:接收邮件安全网关发送的邮件附件,将邮件附件与存储的一种或多种病毒的特征集合进行匹配,其中,一种或多种病毒的特征集合包括的病毒特征基于历史邮件附件确定;根据匹配的结果,确定邮件附件的安全检测结果,并响应于所述邮件安全网关的结果获取请求,将安全检测结果返回给邮件安全网关,以使邮件安全网关根据安全检测结果,处理邮件附件;针对邮件附件的安全检测结果指示附件合法的情况,将邮件附件发送给云沙箱,以使云沙箱对邮件附件进行安全分析;从云沙箱获取针对邮件附件的安全分析结果,在安全分析结果指示附件非法的情况下,基于邮件附件或者安全分析结果,更新特征集合。
根据本发明实施例的技术方案,通过将邮件安全网关发送的邮件附件与存储的一种或多种病毒的特征集合匹配,来对邮件附件进行安全检测,得到安全检测结果,相比于云沙箱通过运行邮件附件检测邮件附件安全性,该特征集合匹配的方式检测效率更高,使邮件安全网关能够根据安全检测结果及时拦截或者放行邮件附件。另外,针对邮件附件的安全检测结果指示附件合法的情况,通过云沙箱进一步安全分析,在云沙箱安全分析结构指示附件非法后,确定出新的特征集合,扩展了病毒的特征集合,后续可以基于特征集合快速匹配到病毒,保证邮件附件安全检测效率的同时,能够有效地提升邮件附件安全检测准确性,提高邮件的安全性。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。

Claims (12)

1.一种邮件安全检测方法,其特征在于,包括:
接收邮件安全网关发送的针对特定文件哈希值的查询请求,并返回所述文件哈希值对应的特定邮件附件的检测结果,以使所述邮件安全网关根据所述安全检测结果,处理所述邮件附件或对应的邮件;
接收邮件安全网关发送的邮件附件检测请求及对应的邮件附件,将所述邮件附件与存储的一种或多种病毒的特征集合进行匹配,其中,一种或多种病毒的所述特征集合包括的病毒特征基于历史邮件附件确定;
针对所述邮件附件的病毒特征匹配结果指示附件合法的情况,将所述邮件附件发送给云沙箱,以使所述云沙箱对所述邮件附件进行安全分析;
从所述云沙箱获取针对所述邮件附件的安全分析结果,在所述安全分析结果指示附件非法的情况下,基于所述邮件附件或者所述安全分析结果,更新所述一种或多种病毒的特征集合。
2.根据权利要求1所述的邮件安全检测方法,其特征在于,还包括:
接受邮件安全网关的针对邮件附件的文件哈希值的查询请求,并返回对应邮件附件的检测结果;在不存在检测记录时,接收邮件安全网关发送的邮件附件文件及邮件附件检测请求。
3.根据权利要求1所述的邮件安全检测方法,其特征在于,还包括:
若云沙箱检测出所述邮件附件为恶意文件时,从所述云沙箱获取针对所述邮件附件的安全分析结果中读取病毒特征,并将所述病毒特征和邮件附件的文件哈希值与当前一种或多种病毒的特征集合融合成新的病毒特征集。
4.根据权利要求1所述的邮件安全检测方法,其特征在于,还包括:
将接收到的所述邮件安全网关发送的所述邮件附件存储到本地磁盘;
所述将所述邮件附件发送给云沙箱,包括:
将所述本地磁盘存储的指示合法的邮件附件发送给云沙箱。
5.根据权利要求1所述的邮件安全检测方法,其特征在于,还包括:
向搭载云沙箱的运行平台发送资源获取请求,并接收所述运行平台反馈的针对所述云沙箱的可用资源;
基于针对所述云沙箱的可用资源,执行所述将所述邮件附件发送给云沙箱的步骤。
6.根据权利要求1至5任一所述的邮件安全检测方法,其特征在于,在所述接收邮件安全网关发送的邮件附件之后,进一步包括:
为所述邮件附件生成安全检测任务,基于所述邮件附件为所述安全检测任务确定初始信息、任务管理信息,并将所述初始信息、任务状态及任务管理信息存储到数据库;
根据所述邮件附件与存储的一种或多种病毒的特征集合匹配的结果或者所述云沙箱针对所述邮件附件的安全分析结果,更新所述任务管理信息。
7.根据权利要求1所述的邮件安全检测方法,其特征在于,还包括:
定时从所述数据库中获取任务状态指示检测中的安全检测任务的附件信息;
根据所述附件信息,从所述云沙箱获取针对所述邮件附件的安全分析结果。
8.根据权利要求1至5及7任一所述的邮件安全检测方法,其特征在于,
所述接收邮件安全网关发送的邮件附件,将所述邮件附件与存储的一种或多种病毒的特征集合进行匹配的步骤;在邮件安全网关查询邮件附件检测结果时,所述确定所述邮件附件的安全检测结果,将所述安全检测结果返回给所述邮件安全网关的步骤、所述将所述邮件附件发送给云沙箱的步骤基于前端服务接口实现;
所述从所述云沙箱获取到针对所述邮件附件的安全分析结果的步骤以及更新所述特征集合的步骤基于后台服务模块实现。
9.一种邮件安全检测装置,其特征在于,包括:查询模块、安全检测模块及管理模块,其中,
所述安全检测模块,用于接收邮件安全网关发送的邮件附件,将所述邮件附件与存储的一种或多种病毒的特征集合进行匹配,其中,一种或多种病毒的所述特征集合所包括的病毒特征基于历史邮件附件确定出;根据匹配的结果,确定所述邮件附件的安全检测结果;在所述邮件附件的安全检测结果指示附件合法的情况,将所述邮件附件发送给云沙箱,以使所述云沙箱对所述邮件附件进行安全分析;
所述查询模块,用于响应于所述邮件安全网关的结果获取请求,将所述安全检测结果返回给所述邮件安全网关,以使所述邮件安全网关根据所述安全检测结果,处理所述邮件附件;
所述管理模块,用于从所述云沙箱获取针对所述邮件附件的安全分析结果,在所述安全分析结果指示附件非法的情况下,基于所述邮件附件或者所述安全分析结果,确定并存储新的特征集合。
10.一种邮件安全检测系统,其特征在于,包括:云沙箱及权利要求9所述的邮件安全检测装置。
11.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-8中任一所述的方法。
12.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-8中任一所述的方法。
CN202410129460.8A 2024-01-30 2024-01-30 一种邮件安全检测方法、装置和系统 Pending CN117857209A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410129460.8A CN117857209A (zh) 2024-01-30 2024-01-30 一种邮件安全检测方法、装置和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410129460.8A CN117857209A (zh) 2024-01-30 2024-01-30 一种邮件安全检测方法、装置和系统

Publications (1)

Publication Number Publication Date
CN117857209A true CN117857209A (zh) 2024-04-09

Family

ID=90534299

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410129460.8A Pending CN117857209A (zh) 2024-01-30 2024-01-30 一种邮件安全检测方法、装置和系统

Country Status (1)

Country Link
CN (1) CN117857209A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108200105A (zh) * 2018-03-30 2018-06-22 杭州迪普科技股份有限公司 一种检测钓鱼邮件的方法及装置
CN109450929A (zh) * 2018-12-13 2019-03-08 成都亚信网络安全产业技术研究院有限公司 一种安全检测方法及装置
CN110278212A (zh) * 2019-06-26 2019-09-24 中国工商银行股份有限公司 链接检测方法及装置
WO2020060503A1 (en) * 2018-09-20 2020-03-26 Ucar Ozan An email threat simulator for identifying security vulnerabilities in email protection mechanisms
CN116204880A (zh) * 2022-12-30 2023-06-02 重庆信锐达科技有限公司 一种计算机病毒防御系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108200105A (zh) * 2018-03-30 2018-06-22 杭州迪普科技股份有限公司 一种检测钓鱼邮件的方法及装置
WO2020060503A1 (en) * 2018-09-20 2020-03-26 Ucar Ozan An email threat simulator for identifying security vulnerabilities in email protection mechanisms
CN109450929A (zh) * 2018-12-13 2019-03-08 成都亚信网络安全产业技术研究院有限公司 一种安全检测方法及装置
CN110278212A (zh) * 2019-06-26 2019-09-24 中国工商银行股份有限公司 链接检测方法及装置
CN116204880A (zh) * 2022-12-30 2023-06-02 重庆信锐达科技有限公司 一种计算机病毒防御系统

Similar Documents

Publication Publication Date Title
US11714906B2 (en) Reducing threat detection processing by applying similarity measures to entropy measures of files
US9596257B2 (en) Detection and prevention of installation of malicious mobile applications
US8276202B1 (en) Cloud-based gateway security scanning
US10635812B2 (en) Method and apparatus for identifying malicious software
CN112261172B (zh) 服务寻址访问方法、装置、系统、设备及介质
CN111563015B (zh) 数据监控方法及装置、计算机可读介质及终端设备
CN110858172A (zh) 一种自动化测试代码生成方法和装置
CN111427701A (zh) 一种工作流引擎系统和业务处理方法
CN109918191B (zh) 一种业务请求防频的方法和装置
CN111182060A (zh) 报文的检测方法及装置
US20210334375A1 (en) Malicious Event Detection in Computing Environments
RU2491623C1 (ru) Система и способ проверки файлов на доверенность
US9519648B2 (en) Software detection
CN110392032B (zh) 检测异常url的方法、装置及存储介质
US9398041B2 (en) Identifying stored vulnerabilities in a web service
WO2021135257A1 (zh) 一种漏洞处理方法及相关设备
CN118312076A (zh) 地图图标处理方法、装置、电子设备及计算机可读介质
CN109213815B (zh) 控制执行次数的方法、装置、服务器终端以及可读介质
CN117857209A (zh) 一种邮件安全检测方法、装置和系统
US11662927B2 (en) Redirecting access requests between access engines of respective disk management devices
CN112948831B (zh) 应用程序风险识别的方法和装置
CN114706774A (zh) 接口测试方法、装置、设备以及存储介质
CN111737218A (zh) 一种共享文件的方法及装置
CN112965747B (zh) 挖掘代码漏洞的方法、装置、设备和计算机可读介质
US11595386B2 (en) Method, electronic device and computer program product for storage management

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination