CN108418777A - 一种钓鱼邮件检测方法、装置及*** - Google Patents
一种钓鱼邮件检测方法、装置及*** Download PDFInfo
- Publication number
- CN108418777A CN108418777A CN201710071611.9A CN201710071611A CN108418777A CN 108418777 A CN108418777 A CN 108418777A CN 201710071611 A CN201710071611 A CN 201710071611A CN 108418777 A CN108418777 A CN 108418777A
- Authority
- CN
- China
- Prior art keywords
- address
- fishing
- blacklist library
- dynamic blacklist
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及信息安全领域,尤其涉及一种钓鱼邮件检测方法、装置及***,为了解决现有钓鱼邮件检测***中检测效率过低和准确率过低的问题,该方法为,先基于邮件的头部信息,对邮件进行第一类钓鱼信息的检测,以识别出包含第一类钓鱼信息的钓鱼邮件,对于无法通过头部信息就能确定是否为钓鱼邮件的邮件,基于该邮件的正文信息,进行第二类钓鱼信息的检测,以识别出包含第二类钓鱼信息的钓鱼邮件,这样,通过对邮件进行分类检测,能防止对钓鱼邮件的漏判,提高了准确率,而且,对于能通过头部信息就能判定的钓鱼邮件,无需再进行正文信息检测,不仅保护了用户的敏感信息,还提高了检测效率,减少了资源的耗费。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种钓鱼邮件检测方法、装置及***。
背景技术
随着电子商务的迅速发展,网络钓鱼已经成为当前最主要也是增长最快的网络欺诈手段,近年来,网络钓鱼开始变得更加猖獗,而且网络钓鱼手段也越来越复杂,其中,网络钓鱼最常用的手段是钓鱼邮件。
钓鱼邮件是指钓鱼攻击者通过伪造发件人地址,向收件人发送带有欺骗性内容的电子邮件,例如,向收件人发送声称来自银行或者其他知名机构的欺骗性垃圾邮件,诱使收件人访问伪造的网页(Web)站点,或者,通过回复邮件的方式获取收件人的敏感信息。
最常见的钓鱼邮件大致分为三类:仿冒钓鱼邮件、链接钓鱼邮件和附件钓鱼邮件,其中,仿冒钓鱼邮件为:骗子通过自己构建的发件服务器,实现隐藏真实发件人信息,并伪装成任意发件人,而这种类型的钓鱼邮件是目前邮件用户困扰最大,识别难度最高,也是信息安全防治最无力的。链接钓鱼邮件为:在正常邮件内嵌入钓鱼链接(超链接或直接链接),并在邮件内或在打开的链接页面中要求用户输入账户信息以查看订单或样本。附件钓鱼邮件为:通过在邮件附件中植入病毒,而附件的形式有多种,如,Html网页附件,Exe/Scr附件,Doc附件,Excel附件,PDF附件等等,其中,Exe/Scr附件的风险程度最高,一般是病毒执行程序。
现有技术下,一般采用如下两种方式对钓鱼邮件进行识别:
方式一:在获取网络中邮件数据流量后,还原邮件内容,查看发件人是否在收件人的常用联系人名单中,确认在常用联系人名单中后,将邮件内容与该发件人发送给收件人的历史通信邮件进行比对分析,提取当前邮件中出现的IP地址、域名和链接三者中的任意一个、两个或三个,与知名权威网站的邮件对应进行视觉相似度比对,从而判定所述邮件是否为鱼叉式钓鱼邮件。
上述方式中,需要对接收到的所有邮件的正文进行分析,以及需要与收件人的所有历史邮件做比对,耗费资源较大,效率较低,而且仅将邮件中出现的链接、IP地址或者域名与权威网站进行视觉比对,识别率较低,容易产生误判和漏判。
方式二:首先,解析电子邮件的头部信息,得到电子邮件的传输路径,以及对应服务器的IP地址,确定电子邮件发件人声称的域名与实际发送邮件服务器的域名是否匹配,如果匹配则认为是合法邮件,如果不匹配则认为是疑似钓鱼邮件,然后,再解析疑似钓鱼邮件的正文信息,查看是否有链接地址,获取链接地址对应的域名,判断该域名是否与发件人声称的域名一致,若不一致,则判定该邮件为钓鱼邮件。
上述方式中,虽然通过解析电子邮件的头部信息,提取进行域名比对,可以提高邮件的识别效率,但是在分析邮件正文信息时,仅将链接地址信息与发件人声称的域名进行比对判别,这种判别方式显然过于简单,容易产生误判和漏判。
另外,以上两种方式在检测邮件正文时,都仅能识别带有链接信息的钓鱼邮件,无法对不含有链接信息的钓鱼邮件进行有效识别,存在一定的局限性。
综上所述,需要设计一种新的钓鱼邮件检测方法,以提高钓鱼邮件的检测效率,以及提高钓鱼邮件检测的准确性和有效性。
发明内容
本发明实施例提供一种钓鱼邮件检测方法、装置及***,用以解决现有技术中存在的钓鱼邮件的检测效率较低和准确性较低的问题。
本发明实施例提供的具体技术方案如下:
一种钓鱼邮件检测***,包括头部信息检测装置和正文信息检测装置,其中,
头部信息检测装置,用于获取邮件的头部信息,并基于预设的第一类动态黑名单库,判断所述头部信息中是否包含有位于所述第一类动态黑名单库中的指定的第一类钓鱼信息,确定包含时,判定所述邮件为钓鱼邮件,否则,将所述邮件送入正文信息检测装置;
正文信息检测装置,用于接收所述头部信息检测装置发送的邮件,并提取所述邮件的正文信息,以及基于预设的第二类动态黑名单库,判断所述正文信息中是否包含有位于所述第二类动态黑名单库中的指定的第二类钓鱼信息,确定包含时,判定所述邮件为钓鱼邮件,否则,判定所述邮件为非钓鱼邮件。
可选的,还包括:
用户信息反馈装置,用于在根据用户指示确定存在与钓鱼邮件关联的钓鱼信息时,采用所述关联的钓鱼信息,对相应的动态黑名单库进行更新。
可选的,所述第一类动态黑名单库至少包括邮件地址动态黑名单库、IP地址动态黑名单库和域名动态黑名单库中的一种或任意组合;
所述第一类钓鱼信息至少包括钓鱼邮件地址、钓鱼IP地址和钓鱼域名中的一种或任意组合;
所述第二类动态黑名单库至少包括关键词动态黑名单库或/和链接地址动态黑名单库;
所述第二类钓鱼信息至少包括关键词或/和链接地址。
可选的,所述头部信息检测装置至少包括邮件地址检测子装置:
所述邮件地址检测子装置,用于基于获取的邮件的头部信息,确定对应的邮件地址,并基于预设的邮件地址动态黑名单库,判断所述邮件地址是否为所述邮件地址动态黑名单库中指定的钓鱼邮件地址,若是,则判定所述邮件为钓鱼邮件,否则,将所述邮件送入所述正文信息检测装置。
可选的,所述头部信息检测装置进一步包括IP地址检测子装置:
所述IP地址检测子装置,用于在所述邮件地址检测子装置判定所述邮件地址不为所述邮件地址动态黑名单库中指定的钓鱼邮件地址时,基于所述头部信息,确定对应的IP地址,并基于预设的IP地址动态黑名单库,判断所述IP地址是否为所述IP地址动态黑名单库中指定的钓鱼IP地址,若是,则判定所述邮件为钓鱼邮件,否则,将所述邮件送入所述正文信息检测装置。
可选的,所述头部信息检测装置进一步包括域名检测子装置:
所述域名检测子装置,用于在所述IP地址检测子装置判定所述IP地址不为所述IP地址动态黑名单库中指定的钓鱼IP地址时,基于所述头部信息,确定对应的域名和IP地址,以及基于所述IP地址,确定所述IP地址对应的映射域名,并判断所述域名与所述映射域名是否一致;
若是,则将所述邮件送入所述正文信息检测装置;
否则,基于预设的域名动态黑名单库,将所述域名与指定的钓鱼域名进行匹配度检测,获得的匹配度作为第一匹配度,并继续判断所述第一匹配度是否大于预设的第一预设阈值,若是,则判定所述邮件为钓鱼邮件,否则,将所述邮件送入所述正文信息检测装置。
可选的,所述正文信息检测装置至少包括关键词检测子装置:
所述关键词检测子装置,用于接收所述头部信息检测装置发送的邮件,并提取所述邮件的正文信息,以及基于预设的关键词动态黑名单库,判断所述正文信息是否包含位于所述关键词动态黑名单库中指定的钓鱼关键词,若是,则判定所述邮件为钓鱼邮件,否则,判定所述邮件为非钓鱼邮件。
可选的,所述正文信息检测装置进一步包括链接地址检测子装置:
所述链接地址检测子装置,用于在所述关键词检测子装置判定所述关键词不为所述关键词动态黑名单库中指定的钓鱼关键词时,判断所述正文信息是否包含链接地址;
确定不包含时,将所述邮件送入附件检测子装置;
确定包含时,提取所述链接地址,并基于预设的链接地址动态黑名单库,将所述链接地址与指定的钓鱼链接地址进行匹配度检测,获得的匹配度作为第二匹配度,确定所述第二匹配度大于预设的第二预设阈值时,判定所述邮件为钓鱼邮件,确定所述第二匹配度低于预设的第三预设阈值时,判定所述邮件为非钓鱼邮件,否则,将所述邮件送入附件检测子装置。
可选的,所述正文信息检测装置进一步包括附件检测子装置:
所述附件检测子装置,用于在所述链接地址检测子装置判定所述链接地址不为所述链接地址动态黑名单库中指定的钓鱼链接地址时,对所述邮件进行附件检测,确定存在附件时,提示用户谨慎下载所述附件,否则,提示用户所述邮件为疑似邮件,谨慎点击;或者,
所述附件检测子装置,用于在所述链接地址检测子装置判定所述第二匹配度不大于所述第二预设阈值且不小于大于所述第三预设阈值时,对所述邮件进行附件检测,确定存在附件时,提示用户谨慎下载所述附件,否则,提示用户所述邮件为疑似邮件,谨慎点击。
一种钓鱼邮件检测方法,包括:
获取邮件的头部信息,并基于预设的第一类动态黑名单库,判断所述头部信息中是否包含有位于所述第一类动态黑名单库中的指定的第一类钓鱼信息;
确定包含时,判断所述邮件为钓鱼邮件;
确定不包含时,提取所述邮件的正文信息,以及基于预设的第二类动态黑名单库,判断所述正文信息中是否包含有位于所述第二类动态黑名单库中的指定的第二类钓鱼信息,确定包含时,判定所述邮件为钓鱼邮件,确定不包含时,判定所述邮件为非钓鱼邮件。
可选的,还包括:
根据用户指示确定存在与钓鱼邮件关联的钓鱼信息时,采用所述关联的钓鱼信息,对相应的动态黑名单库进行更新。
可选的,所述第一类动态黑名单库至少包括邮件地址动态黑名单库、IP地址动态黑名单库和域名动态黑名单库中的一种或任意组合;
所述第一类钓鱼信息至少包括钓鱼邮件地址、钓鱼IP地址和钓鱼域名中的一种或任意组合;
所述第二类动态黑名单库至少包括关键词动态黑名单库或/和链接地址动态黑名单库;
所述第二类钓鱼信息至少包括关键词或/和链接地址。
可选的,获取邮件的头部信息,并基于预设的第一类动态黑名单库,判断所述头部信息中是否包含有位于所述第一类动态黑名单库中的指定的第一类钓鱼信息,包括:
获取的邮件的头部信息,确定对应的邮件地址;
基于预设的邮件地址动态黑名单库,判断所述邮件地址是否为所述邮件地址动态黑名单库中指定的钓鱼邮件地址;
判定所述邮件地址为所述邮件地址动态黑名单库中指定的钓鱼邮件地址时,确定包含;
判定所述邮件地址不为所述邮件地址动态黑名单库中指定的钓鱼邮件地址时,确定不包含。
可选的,判定所述邮件地址不为所述邮件地址动态黑名单库中指定的钓鱼邮件地址时,确定不包含之后,进一步包括:
基于所述头部信息,确定对应的IP地址;
基于预设的IP地址动态黑名单库,判断所述IP地址是否为所述IP地址动态黑名单库中指定的钓鱼IP地址;
判定所述IP地址为所述IP地址动态黑名单库中指定的钓鱼IP地址时,确定包含;
判定所述IP地址不为所述IP地址动态黑名单库中指定的钓鱼IP地址时,确定不包含。
可选的,判定所述IP地址不为所述IP地址动态黑名单库中指定的钓鱼IP地址时,确定不包含之后,进一步包括:
基于所述头部信息,确定对应的域名和IP地址;
基于所述IP地址,确定所述IP地址对应的映射域名;
判断所述域名与所述映射域名是否一致;
判定一致时,确定不包含;
判定不一致时,基于预设的域名动态黑名单库,将所述域名与指定的钓鱼域名进行匹配度检测,获得的匹配度作为第一匹配度,并继续判断所述第一匹配度是否大于预设的第一预设阈值,若是,则确定包含,否则,确定不包含。
可选的,提取所述邮件的正文信息,以及基于预设的第二类动态黑名单库,判断所述正文信息中是否包含有位于所述第二类动态黑名单库中的指定的第二类钓鱼信息,包括:
提取所述邮件的正文信息;
基于预设的关键词动态黑名单库,判断所述正文信息是否包含位于所述关键词动态黑名单库中指定的钓鱼关键词;
判定所述正文信息包含位于所述关键词动态黑名单库中指定的钓鱼关键词时,确定包含;
判定所述正文信息不包含位于所述关键词动态黑名单库中指定的钓鱼关键词时,确定不包含。
可选的,判定所述正文信息不包含位于所述关键词动态黑名单库中指定的钓鱼关键词时,确定不包含之后,进一步包括:
继续判断所述正文信息是否包含链接地址;
确定所述正文信息包含链接地址时,提取所述链接地址,并基于预设的链接地址动态黑名单库,将所述链接地址与指定的钓鱼链接地址进行匹配度检测,获得的匹配度作为第二匹配度,确定所述第二匹配度大于预设的第二预设阈值时,确定包含,确定所述第二匹配度低于预设的第三预设阈值时,确定不包含,否则,对所述邮件进行附件检测;
确定所述正文信息不包含链接地址时,对所述邮件进行附件检测。
可选的,对所述邮件进行附件检测,包括:
确定存在附件时,提示用户谨慎下载所述附件,否则,提示用户所述邮件为疑似邮件,谨慎点击。
一种钓鱼邮件检测装置,包括:
第一处理单元,用于获取邮件的头部信息,并基于预设的第一类动态黑名单库,判断所述头部信息中是否包含有位于所述第一类动态黑名单库中的指定的第一类钓鱼信息;
第二处理单元,用于确定包含时,判断所述邮件为钓鱼邮件;
第三处理单元,用于确定不包含时,提取所述邮件的正文信息,以及基于预设的第二类动态黑名单库,判断所述正文信息中是否包含有位于所述第二类动态黑名单库中的指定的第二类钓鱼信息,确定包含时,判定所述邮件为钓鱼邮件,确定不包含时,判定所述邮件为非钓鱼邮件。
可选的,还包括更新单元,所述更新单元用于:
根据用户指示确定存在与钓鱼邮件关联的钓鱼信息时,采用所述关联的钓鱼信息,对相应的动态黑名单库进行更新。
可选的,所述第一类动态黑名单库至少包括邮件地址动态黑名单库、IP地址动态黑名单库和域名动态黑名单库中的一种或任意组合;
所述第一类钓鱼信息至少包括钓鱼邮件地址、钓鱼IP地址和钓鱼域名中的一种或任意组合;
所述第二类动态黑名单库至少包括关键词动态黑名单库或/和链接地址动态黑名单库;
所述第二类钓鱼信息至少包括关键词或/和链接地址。
可选的,获取邮件的头部信息,并基于预设的第一类动态黑名单库,判断所述头部信息中是否包含有位于所述第一类动态黑名单库中的指定的第一类钓鱼信息时,所述第一处理单元用于:
获取的邮件的头部信息,确定对应的邮件地址;
基于预设的邮件地址动态黑名单库,判断所述邮件地址是否为所述邮件地址动态黑名单库中指定的钓鱼邮件地址;
判定所述邮件地址为所述邮件地址动态黑名单库中指定的钓鱼邮件地址时,确定包含;
判定所述邮件地址不为所述邮件地址动态黑名单库中指定的钓鱼邮件地址时,确定不包含。
可选的,判定所述邮件地址不为所述邮件地址动态黑名单库中指定的钓鱼邮件地址时,确定不包含之后,所述第一处理单元进一步用于:
基于所述头部信息,确定对应的IP地址;
基于预设的IP地址动态黑名单库,判断所述IP地址是否为所述IP地址动态黑名单库中指定的钓鱼IP地址;
判定所述IP地址为所述IP地址动态黑名单库中指定的钓鱼IP地址时,确定包含;
判定所述IP地址不为所述IP地址动态黑名单库中指定的钓鱼IP地址时,确定不包含。
可选的,判定所述IP地址不为所述IP地址动态黑名单库中指定的钓鱼IP地址时,确定不包含之后,所述第一处理单元进一步用于:
基于所述头部信息,确定对应的域名和IP地址;
基于所述IP地址,确定所述IP地址对应的映射域名;
判断所述域名与所述映射域名是否一致;
判定一致时,确定不包含;
判定不一致时,基于预设的域名动态黑名单库,将所述域名与指定的钓鱼域名进行匹配度检测,获得的匹配度作为第一匹配度,并继续判断所述第一匹配度是否大于预设的第一预设阈值,若是,则确定包含,否则,确定不包含。
可选的,提取所述邮件的正文信息,以及基于预设的第二类动态黑名单库,判断所述正文信息中是否包含有位于所述第二类动态黑名单库中的指定的第二类钓鱼信息时,所述第三处理单元用于:
提取所述邮件的正文信息;
基于预设的关键词动态黑名单库,判断所述正文信息是否包含位于所述关键词动态黑名单库中指定的钓鱼关键词;
判定所述正文信息包含位于所述关键词动态黑名单库中指定的钓鱼关键词时,确定包含;
判定所述正文信息不包含位于所述关键词动态黑名单库中指定的钓鱼关键词时,确定不包含。
可选的,判定所述正文信息不包含位于所述关键词动态黑名单库中指定的钓鱼关键词时,确定不包含之后,所述第三处理单元进一步用于:
继续判断所述正文信息是否包含链接地址;
确定所述正文信息包含链接地址时,提取所述链接地址,并基于预设的链接地址动态黑名单库,将所述链接地址与指定的钓鱼链接地址进行匹配度检测,获得的匹配度作为第二匹配度,确定所述第二匹配度大于预设的第二预设阈值时,确定包含,确定所述第二匹配度低于预设的第三预设阈值时,确定不包含,否则,对所述邮件进行附件检测;
确定所述正文信息不包含链接地址时,对所述邮件进行附件检测。
可选的,对所述邮件进行附件检测时,所述第三处理单元用于:
确定存在附件时,提示用户谨慎下载所述附件,否则,提示用户所述邮件为疑似邮件,谨慎点击。
本发明实施例中,先基于邮件的头部信息,对邮件进行第一类钓鱼信息的检测,以识别出包含第一钓鱼信息的钓鱼邮件,对于无法通过头部信息就能确定是否为钓鱼邮件的邮件,基于该邮件的正文信息,进行第二类钓鱼信息的检测,以识别出包含第二类钓鱼信息的钓鱼邮件,这样,通过对邮件进行分类检测,能防止对钓鱼邮件的漏判,提高了准确率,而且,对于能通过头部信息就能判定的钓鱼邮件,无需再进行正文信息检测,不仅保护了用户的敏感信息,还提高了检测效率,减少了资源的耗费。
附图说明
图1为本发明实施例中钓鱼邮件检测***结构示意图;
图2为本发明实施例中钓鱼邮件检测方法流程图;
图3为本发明实施例中结合具体场景的钓鱼邮件检测方法流程图;
图4为本发明实施例中钓鱼邮件检测装置结构示意图。
具体实施方式
为了解决现有技术中存在的钓鱼邮件检测效率过低和准确率过低的问题,本发明实施例中,重新设计了一种钓鱼邮件检测方法,该方法为,先检测邮件的头部信息,通过头部信息,检测出包含第一类钓鱼信息的钓鱼邮件,对于无法通过头部信息判断是否为钓鱼邮件的邮件,提取该邮件的正文信息,通过对正文信息的进一步检测,检测出包含第二类钓鱼信息的钓鱼邮件。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,并不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面将通过具体实施例对本发明的方案进行详细描述,当然,本发明并不限于以下实施例。
参阅图1所示,本发明实施例中,设计了一种钓鱼邮件检测***,至少包括头部信息检测装置10和正文信息检测装置11,其中,
头部信息检测装置10,用于获取邮件的头部信息,并基于预设的第一类动态黑名单库,判断头部信息中是否包含有位于第一类动态黑名单库中的指定的第一类钓鱼信息,确定包含时,判定邮件为钓鱼邮件,否则,将邮件送入正文信息检测装置;
正文信息检测装置11,用于接收头部信息检测装置发送的邮件,并提取邮件的正文信息,以及基于预设的第二类动态黑名单库,判断正文信息中是否包含有位于第二类动态黑名单库中的指定的第二类钓鱼信息,确定包含时,判定邮件为钓鱼邮件,否则,判定邮件为非钓鱼邮件。
本发明实施例中,钓鱼邮件检测***还包括用户信息反馈装置12,其中,
用户信息反馈装置12,用于在根据用户指示确定存在与钓鱼邮件关联的钓鱼信息时,采用该关联的钓鱼信息,对相应的动态黑名单库进行更新。
具体的,在开始对邮件进行钓鱼邮件检测之前,本发明实施例中,先分别预设基础的邮件地址动态黑名单库、基础的IP地址动态黑名单库、基础的关键词动态黑名单库和基础的链接地址动态黑名单库,其中,各类基础的动态黑名单库可以采用spamhaus反垃圾组织提供的各类黑名单库。
进一步地,用户在收发邮件时,一旦确定某一邮件为钓鱼邮件,则可根据确定存在与钓鱼邮件相关的钓鱼信息(如,邮件地址、IP地址、关键词、链接地址等等),分别对相应的动态黑名单库进行更新。
例如,假设用户确定收到的某一个邮件携带了钓鱼邮件地址,对于网页版的邮件,可以通过网页中存在的举报按钮,对邮件地址动态黑名单库进行更新,对于邮件客户端的邮件,可以通过定期推送的方式,对邮件地址动态黑名单库进行更新,当然,这两种方式并不表示全部的实施方式,只是具体实施方式的之二。
在对动态黑名单库进行更新时,以关键词动态黑名单库为例,可以采用下述方式,首先,建立关键词基础黑名单库,然后,基于分词和倒排序索引短文检索技术,利用基础的关键词黑名单库中的关键词与倒排索引中的关键词计算点互信息(Pointwise MutualInformation,PMI)得分,较佳的,本发明实施例中,采用如下公式获取PMI得分:
其中,p(word1)是word1这个关键词出现的概率,p(word2)是word2这个关键词出现的概率,p(word1&word2)是word1和word2共同出现的概率。
接着,计算word1、word2分别出现的频率,以及word1和word2共同出现的频率,较佳的,本发明实施例中,采用如下公式分别计算各自对应的频率:
其中,df(word)是关键词出现的次数,N是文档总数。
接着,利用上述获得频率计算PMI得分,较佳的,本发明实施例中,采用如下公式计算获得PMI得分:
最后,将PMI得分高于设定分数阈值(如,7分)的关键词进行报警,并人工审核,人工确定为钓鱼关键词时,将该关键词添加入关键词基础黑名单库中。
参阅图2所示,结合附图对本发明优选的实施方式进行详细的说明,本发明实施例中的钓鱼邮件检测方法的流程如下:
步骤200:获取邮件的头部信息。
具体的,头部信息检测子装置获取邮件的头部信息。
步骤210:基于预设的第一类动态黑名单库,判断获取的头部信息中是否包含有位于第一类动态黑名单库中指定的第一类钓鱼信息,若是,则执行步骤240;否则,执行步骤220。
具体的,第一类动态黑名单库至少包括邮件地址动态黑名单库、IP地址动态黑名单库和域名动态黑名单库中的一种或任意组合;第一类钓鱼信息至少包括钓鱼邮件地址、钓鱼IP地址和钓鱼域名中的一种或任意组合;第二类动态黑名单库至少包括关键词动态黑名单库或/和链接地址动态黑名单库;第二类钓鱼信息至少包括关键词或/和链接地址。
进一步地,头部信息检测装置至少包括邮件地址检测子装置,邮件地址检测子装置先基于邮件的头部信息,确定对应的邮件地址,基于获取的邮件的头部信息,确定对应的邮件地址,并基于预设的邮件地址动态黑名单库,判断邮件地址是否为邮件地址动态黑名单库中指定的钓鱼邮件地址,若是,则执行步骤240,否则,继续对头部信息中的IP地址进行检测。
又进一步地,在邮件地址子装置无法基于头部信息中的邮件地址判断邮件为钓鱼邮件后,头部信息检测装置还可以包括IP地址检测子装置,IP地址检测子装置继续对头部信息中的IP地址进行检测,接着,基于头部信息,确定对应的IP地址,并基于预设的IP地址动态黑名单库,判断IP地址是否为IP地址动态黑名单库中指定的钓鱼IP地址,若是,则执行步骤240,否则,继续对头部信息中的域名进行检测。
更进一步地,在IP地址检测子装置无法基于头部信息中的IP地址判断邮件为钓鱼邮件后,头部信息检测装置还可以包括域名检测子装置,域名检测子装置继续对头部信息中的域名进行检测,并基于头部信息,确定对应的域名和IP地址,以及基于IP地址,确定IP地址对应的映射域名,并判断域名与映射域名是否一致,若判定域名与映射域名是一致的,则将该邮件送入正文信息检测装置,以在后续对邮件的正文信息进行检测,若判定域名与映射域名不一致,则基于预设的域名动态黑名单库,将域名与指定的钓鱼域名进行匹配度检测,获得的匹配度作为第一匹配度,并继续判断第一匹配度是否大于预设的第一预设阈值,若是,则执行步骤240,否则,将该邮件送入正文信息检测装置,以在后续对邮件的正文信息进行检测。
步骤220:提取该邮件的正文信息。
具体的,正文信息检测装置提取该邮件的正文信息。
步骤230:基于预设的第二类动态黑名单库判断提取的正文信息中是否包含有位于第二类动态黑名单库中的指定的第二类钓鱼信息,若是,则执行步骤240;否则,执行步骤250。
具体的,当头部信息检测装置无法基于头部信息判断该邮件为钓鱼邮件时,由正文信息检测装置中的关键词检测子装置,基于预设的关键词动态黑名单库,判断正文信息是否包含位于关键词动态黑名单库中指定的钓鱼关键词,若是,则执行步骤240,否则,继续对正文信息进行检测。
进一步地,关键词检测子装置无法基于正文信息判定该邮件为钓鱼邮件后,正文信息检测装置还包括链接地址检测子装置,链接地址检测子装置判断提取到的正文信息中是否包含链接地址,确定包含时,提取该链接地址,并基于预设的链接地址动态黑名单库,将该链接地址与指定的钓鱼链接地址进行匹配度检测,获得的匹配度作为第二匹配度,确定第二匹配度大于预设的第二预设阈值时,执行步骤240,确定第二匹配度低于预设的第三预设阈值时,执行步骤250,否则,将该邮件送入附件检测子装置。
又进一步地,正文信息检测子装置还包括附件检测子装置,附件检测子装置可以在链接检测子装置判定该链接地址不为链接地址动态黑名单库中指定的钓鱼链接地址时,对该邮件进行附件检测,也可以在链接地址检测子装置判定计算的第二匹配度不大于第二预设阈值且不小于大于第三预设阈值时,对该邮件进行附件检测。
更进一步地,附件检测子装置当确定邮件存在附件时,可以提示用户谨慎下载该附件,当确定不存在附件时,可以提示用户该邮件为疑似邮件,谨慎点击。
步骤240:判定该邮件为钓鱼邮件。
具体的,判定邮件为钓鱼邮件时,可进行拦截,也可以提示用户该邮件为钓鱼邮件。
步骤250:判断该邮件为非钓鱼邮件。
具体的,判定邮件为非钓鱼邮件时,可提示用户邮件已经过检测,确认无误。
当然,本发明实施例中,头部信息检测装置可以只包含邮件地址检测子装置,也可以包含邮件地址检测子装置和IP地址检测子装置,还可以包含邮件地址检测子装置、IP地址检测子装置和域名检测子装置。
若头部信息检测装置只包含邮件地址检测子装置,当邮件地址检测子装置无法基于邮件地址判定该邮件为钓鱼邮件时,可将该邮件直接送入正文信息检测装置。
若头部信息检测装置包含邮件地址检测子装置和IP地址检测子装置,当IP地址检测子装置无法基于IP地址判定该邮件为钓鱼邮件时,可将该邮件直接送入正文信息检测装置,以检测正文信息。
同理,本发明实施例中,正文信息检测子装置可以只包含关键词检测子装置,也可以包含关键词检测子装置和链接地址检测子装置,还可以包含关键词检测子装置、链接地址检测子装置和附件检测子装置。
若正文信息检测装置只包含关键词检测子装置,当关键词检测子装置无法基于关键词判定该邮件为钓鱼邮件时,可判定该邮件为非钓鱼邮件。
若正文信息检测装置包含关键词检测子装置和链接地址检测子装置,当链接地址检测子装置无法基于链接地址判定该邮件为钓鱼邮件时,可判定该邮件为非钓鱼邮件。
参阅图3所示,下面结合具体场景对上述实施例进行进一步的说明。
步骤300:接收邮件,并对接收到的邮件的头部信息进行解析,获得对应的邮件地址、IP地址和域名,并分别作为第一邮件地址、第一IP地址和第一域名。
具体的,由头部信息检测装置对接收到的邮件的头部信息进行解析,在头部信息的相应位置,获取该邮件的邮件地址、IP地址和域名。
现有的邮件头部信息的格式如表一所示。
表一
进一步地,通过对From域进行提取,可获得邮件地址和域名,通过对Received域进行提取,可获得IP地址,其中,From域中记录的信息是由发件人定义的,Received域中记录的信息是由传输邮件的每个中继服务器自动添加的。
例如,当前接收的邮件为邮件1,邮件1对应的头部信息中,From域包含“lovelilyamy<[email protected]>”信息,Received域包含“from mail-pz0-f53.***.com(unknown[209.85.210.53])by mx2(Coremail)with SMTP idAQAAf3DLXQP3AN9PwxkBAA--.3381S3;Mon,18Jun 2012 18:20:39+0800(CST)”信息,通过对From域和Received域进行提取,可获得邮件1的邮件地址“[email protected]”、域名“***.com”和IP地址“209.85.210.53”。
步骤301:判断该第一邮件地址是否在预设的邮件地址动态黑名单库内,若是,则执行步骤314;否则,执行步骤302。
具体的,头部信息检测装置中的邮件地址检测子装置将提取的第一邮件地址,与预设的邮件地址动态黑名单库中各个邮件地址进行一一比对,判断在该预设的邮件地址动态黑名单库中是否存在与该第一邮件地址相同的邮件地址,若存在,则执行步骤314;否则,执行步骤302。
进一步地,由于,From域中记录的信息是由发件人自己定义的,因此,这部分的信息也是最容易被伪造的,在步骤301中,首先排除最简单的邮件地址伪造类的钓鱼邮件。
步骤302:判断该第一IP地址是否在预设的IP地址动态黑名单库内,若是,则执行步骤314;否则,执行步骤303。
具体的,头部信息检测装置中的邮件地址检测子装置在排除当前邮件非邮件地址伪造类的钓鱼邮件后,将邮件传输至头部信息检测装置中的IP地址检测子装置,IP地址检测子装置将提取的第一IP地址,与预设的IP地址动态黑名单库中各个IP地址进行一一比对,判断在该预设的IP地址动态黑名单库中是否存在与该第一IP地址相同的IP地址,若存在,则执行步骤314;否则,执行步骤303。
进一步地,虽然,Received域中记录的信息是由邮件传输过程中经历的每一个中继服务器自动添加的,能表明邮件的传输路径,但在实际传输时,黑客或犯罪人员,能通过伪造邮件传输过程中经历的中继服务器的IP地址,从而伪造邮件的IP地址,因此,在排除了接收到的邮件的邮件地址非伪造邮件地址后,继续对邮件头部信息中Received域中提取的第一IP地址进行检测,以进一步判断该邮件是否为钓鱼邮件,避免漏判IP地址伪造类的钓鱼邮件。
步骤303:基于IP地址与域名之间的映射关系,获得与该第一IP地址对应的域名,作为第二域名。
具体的,当头部信息检测装置中的IP地址检测子装置排除当前邮件非IP地址伪造类的钓鱼邮件后,将该邮件传输至头部信息检测装置中的域名检测子装置中,以由域名检测子装置对当前邮件的域名进行检测,以判断当前邮件是否属于恶意域名的钓鱼邮件。
一般来说,IP地址与域名之间存在一一对应的映射关系,基于该映射关系,能获得通过对当前邮件的Received域中提取到的第一IP地址进行映射的域名,并作为第二域名。
例如,假设当前邮件的第一IP地址为“210.93.131.250”,若“210.93.131.250”在映射关系中对应的域名为“Barclays.Com”,经映射,可知第二域名为“Barclays.Com”。
步骤304:判断第一域名与第二域名是否一致,若是,则执行步骤307;否则,执行步骤305。
具体的,域名检测子装置确定第二域名后,并将第一域名与第二域名进行比较,若判定通过在From域中提取到的第一域名与所述第二域名相同,即,判定提取的第一域名并不在第二域名对应的映射表中,则执行步骤307;否则,执行步骤305。
进一步地,在判定提取的第一域名并不在第二域名对应的映射表中之后,在执行步骤307之前,可将该邮件标记为“一级风险”邮件。
步骤305:基于多元属性的恶意域名检测技术,对第一域名进行匹配度检测,获得的匹配度作为第一匹配度。
具体的,当头部信息检测装置中的域名检测子装置判断当前邮件为可疑恶意域名的钓鱼邮件后,继续对当前邮件的可疑域名进行进一步地检测,以判断当前邮件是否属于恶意域名的钓鱼邮件。
进一步地,域名检测子装置可基于多元属性的恶意域名检测技术,对第一域名进行匹配度检测,获得的匹配度作为第一匹配度。
更进一步地,域名检测子装置通过采用多元属性的恶意域名检测技术对该域名的词法特征和网络属性进行分析,其中,网络属性包括注册行为、解析行为和使用行为等。
较佳的,本发明实施例中,优选了域名的16个网络属性,并将上述20个网络属性转换为域名的特征向量后作为随机森林分类器的输入特征值,以计算当前邮件的域名是否为恶意域名的匹配度,具体参见表二。
表二
步骤306:判断第一匹配度是否大于第一预设阈值,若是,则执行步骤314;否则,执行步骤307。
具体的,域名检测子装置在基于当前邮件的域名与恶意域名之间的匹配度进行判断之前,先设置相关阈值,作为第一预设阈值,以判断当前邮件的域名是否为恶意域名,当然,第一预设阈值可以由头部信息检测装置设置,也可以由域名可疑性检测子装置设置,还可以由其他装置设置。
较佳的,本发明实施例中,优选的第一预设阈值为0.998,当域名可疑性检测子装置获得的第一匹配度大于0.998时,执行步骤314,否则,执行步骤307。
步骤307:获取该邮件的正文信息。
具体的,头部信息检测装置中的域名检测子装置确认当前邮件的域名不为恶意域名后,将该邮件送入正文信息检测装置中,由正文信息检测装置获取该邮件的数据流量,然后,根据该邮件的编码类型对所述数据流量进行还原,得到该邮件的正文信息。
步骤308:判断获得的正文信息中是否包含位于预设的关键词动态黑名单库的关键词,若是,则执行步骤314;否则,执行步骤309。
具体的,正文信息检测装置获取到当前邮件的正文信息后,由正文信息检测装置中的关键词检测子装置对所述正文信息进行关键词检测,以确定正文信息中是否包含位于预设的关键词动态黑名单库的关键词。
例如,对于金融诈骗类的钓鱼邮件来说,通常在邮件的正文信息中包含中奖、银行账号验证等内容,诱使用户通过钓鱼邮件输入与银行账号相关的身份信息(如,银行账号、银行账号密码、身份证号、校验码等等),以窃取用户财务信息,假设当前预设的关键词动态黑名单库有银行账号、银行账号密码、身份证号和校验码四种关键词,若关键词检测子装置获取的正文信息包含了以上任意一种或几种关键词,则将该邮件标记为“三级风险”邮件,并执行步骤314;否则,执行步骤309。
步骤309:判断获得的正文信息中是否包含链接地址,若是,则执行步骤310;否则,执行步骤316。
具体的,正文信息检测装置中的关键词检测子装置将当前邮件送入链接地址检测子装置,由链接地址检测子装置对获得的正文进行进一步地的检测,首先判断获得的正文信息中是否包含链接地址,若是,则执行步骤310;否则,执行步骤316。
步骤310:基于预设的链接地址动态黑名单库对该链接地址进行匹配度检测,获得的匹配度作为第二匹配度。
具体的,基于预设的链接地址动态黑名单库,对该链接地址进行模糊匹配,即,先计算该链接地址与预设的链接地址动态黑名单库内的每一个链接地址的距离差值,然后,分别计算所得的每一个距离差值与该链接地址比值,选取所得各个比值中最大值作为第二匹配度。
步骤311:判断第二匹配度是否达到第二预设阈值,若是,则执行步骤314;否则,执行步骤312。
具体的,链接地址检测子装置在基于当前邮件的链接地址与钓鱼链接地址之间的匹配度进行判断之前,先设置相关阈值,分别作为第二预设阈值和第三预设阈值,以判断当前邮件的链接地址是否为钓鱼链接地址,当然,第二预设阈值和第三预设阈值可以由正文信息检测装置设置,也可以由链接地址检测子装置设置,还可以由其他装置设置。
例如,本发明实施例中,第二预设阈值可设定为0.95,优选的第三预设阈值可设定为0.75。
进一步地,当链接地址检测子装置获得的第二匹配度大于0.95时,执行步骤314;否则,执行步骤312。
步骤312:判断第二匹配度是否达到第三预设阈值,若是,则执行步骤313;否则,执行步骤316。
具体的,承接步骤311,例如,当链接地址检测子装置获得的第二匹配度不大于0.95时,继续对第二匹配度进行判断,判断第二匹配度是否大于0.75,若是,则将该邮件标记为“四级风险”邮件,并执行步骤313;否则,执行步骤316。
步骤313:检测该邮件是否存在附件,若是,则执行步骤317;否则,执行步骤315。
具体的,当链接地址检测子装置完成对邮件的链接地址检测后,将当前邮件送入附件检测子装置中,由附件检测子装置对该邮件是否携带了附件,若是,则执行步骤317;否则,执行步骤315。
步骤314:判定该邮件为钓鱼邮件,并对该邮件进行拦截。
步骤315:提示用户该邮件为疑似钓鱼邮件,谨慎点击。
具体的,当附件检测子装置确定当前邮件不存在附件时,可向用户推送当前邮件为钓鱼邮件的风险等级为“四级风险”,谨慎点击。
步骤316:判定该邮件不为钓鱼邮件。
具体的,判定该邮件不为钓鱼邮件,还可提示用户可查看。
步骤317:提示用户谨慎下载邮件附件。
具体的,当附件检测子装置确定当前邮件存在附件时,可向用户推送提示信息“该邮件存在附件,请进行病毒扫描,谨慎下载”。
当然,本发明实施例中,头部信息检测装置中的域名检测子装置,还可以基于功能的细分,分为域名一致性检测子装置和域名可疑性检测子装置,域名一致性检测子装置主要用于对获得的第一域名和第二域名的一致性进行判断,域名可疑性检测子装置是当域名一致性检测子装置判断一致时,对域名进行进一步地可疑性筛选。
基于上述实施例,参阅图4所示,本发明实施例中,钓鱼邮件检测装置,至少包括第一处理单元40、第二处理单元41和第三处理单元42,其中,
第一处理单元40,用于获取邮件的头部信息,并基于预设的第一类动态黑名单库,判断所述头部信息中是否包含有位于所述第一类动态黑名单库中的指定的第一类钓鱼信息;
第二处理单元41,用于确定包含时,判断所述邮件为钓鱼邮件;
第三处理单元42,用于确定不包含时,提取所述邮件的正文信息,以及基于预设的第二类动态黑名单库,判断所述正文信息中是否包含有位于所述第二类动态黑名单库中的指定的第二类钓鱼信息,确定包含时,判定所述邮件为钓鱼邮件,确定不包含时,判定所述邮件为非钓鱼邮件。
可选的,还包括更新单元43,所述更新单元43用于:
根据用户指示确定存在与钓鱼邮件关联的钓鱼信息时,采用所述关联的钓鱼信息,对相应的动态黑名单库进行更新。
可选的,所述第一类动态黑名单库至少包括邮件地址动态黑名单库、IP地址动态黑名单库和域名动态黑名单库中的一种或任意组合;
所述第一类钓鱼信息至少包括钓鱼邮件地址、钓鱼IP地址和钓鱼域名中的一种或任意组合;
所述第二类动态黑名单库至少包括关键词动态黑名单库或/和链接地址动态黑名单库;
所述第二类钓鱼信息至少包括关键词或/和链接地址。
可选的,获取邮件的头部信息,并基于预设的第一类动态黑名单库,判断所述头部信息中是否包含有位于所述第一类动态黑名单库中的指定的第一类钓鱼信息时,所述第一处理单元40用于:
获取邮件的头部信息,确定对应的邮件地址;
基于预设的邮件地址动态黑名单库,判断所述邮件地址是否为所述邮件地址动态黑名单库中指定的钓鱼邮件地址;
判定所述邮件地址为所述邮件地址动态黑名单库中指定的钓鱼邮件地址时,确定包含;
判定所述邮件地址不为所述邮件地址动态黑名单库中指定的钓鱼邮件地址时,确定不包含。
可选的,判定所述邮件地址不为所述邮件地址动态黑名单库中指定的钓鱼邮件地址时,确定不包含之后,所述第一处理单元40进一步用于:
基于所述头部信息,确定对应的IP地址;
基于预设的IP地址动态黑名单库,判断所述IP地址是否为所述IP地址动态黑名单库中指定的钓鱼IP地址;
判定所述IP地址为所述IP地址动态黑名单库中指定的钓鱼IP地址时,确定包含;
判定所述IP地址不为所述IP地址动态黑名单库中指定的钓鱼IP地址时,确定不包含。
可选的,判定所述IP地址不为所述IP地址动态黑名单库中指定的钓鱼IP地址时,确定不包含之后,所述第一处理单元40进一步用于:
基于所述头部信息,确定对应的域名和IP地址;
基于所述IP地址,确定所述IP地址对应的映射域名;
判断所述域名与所述映射域名是否一致;
判定一致时,确定不包含;
判定不一致时,基于预设的域名动态黑名单库,将所述域名与指定的钓鱼域名进行匹配度检测,获得的匹配度作为第一匹配度,并继续判断所述第一匹配度是否大于预设的第一预设阈值,若是,则确定包含,否则,确定不包含。
可选的,提取所述邮件的正文信息,以及基于预设的第二类动态黑名单库,判断所述正文信息中是否包含有位于所述第二类动态黑名单库中的指定的第二类钓鱼信息时,所述第三处理单元42用于:
提取所述邮件的正文信息;
基于预设的关键词动态黑名单库,判断所述正文信息是否包含位于所述关键词动态黑名单库中指定的钓鱼关键词;
判定所述正文信息包含位于所述关键词动态黑名单库中指定的钓鱼关键词时,确定包含;
判定所述正文信息不包含位于所述关键词动态黑名单库中指定的钓鱼关键词时,确定不包含。
可选的,判定所述正文信息不包含位于所述关键词动态黑名单库中指定的钓鱼关键词时,确定不包含之后,所述第三处理单元42进一步用于:
继续判断所述正文信息是否包含链接地址;
确定所述正文信息包含链接地址时,提取所述链接地址,并基于预设的链接地址动态黑名单库,将所述链接地址与指定的钓鱼链接地址进行匹配度检测,获得的匹配度作为第二匹配度,确定所述第二匹配度大于预设的第二预设阈值时,确定包含,确定所述第二匹配度低于预设的第三预设阈值时,确定不包含,否则,对所述邮件进行附件检测;
确定所述正文信息不包含链接地址时,对所述邮件进行附件检测。
可选的,对所述邮件进行附件检测时,所述第三处理单元42用于:
确定存在附件时,提示用户谨慎下载所述附件,否则,提示用户所述邮件为疑似邮件,谨慎点击。
综上所述,本发明实施例中,先基于邮件的头部信息,对邮件进行第一类钓鱼信息的检测,以识别出包含第一类钓鱼信息的钓鱼邮件,对于无法通过头部信息就能确定是否为钓鱼邮件的邮件,基于该邮件的正文信息,进行第二类钓鱼信息的检测,以识别出包含第二类钓鱼信息的钓鱼邮件,这样,通过对邮件进行分类检测,能防止对钓鱼邮件的漏判,提高了准确率,而且,对于能通过头部信息就能判定的钓鱼邮件,无需再进行正文信息检测,不仅保护了用户的敏感信息,还提高了检测效率,减少了资源的耗费,同时,无论是对头部信息还是对正文信息进行检测,各类动态黑名单库都会基于用户指示确定存在与钓鱼邮件相关的钓鱼信息,进行实时的更新,提高了检测的准确率。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (27)
1.一种钓鱼邮件检测***,其特征在于,包括头部信息检测装置和正文信息检测装置,其中,
头部信息检测装置,用于获取邮件的头部信息,并基于预设的第一类动态黑名单库,判断所述头部信息中是否包含有位于所述第一类动态黑名单库中的指定的第一类钓鱼信息,确定包含时,判定所述邮件为钓鱼邮件,否则,将所述邮件送入正文信息检测装置;
正文信息检测装置,用于接收所述头部信息检测装置发送的邮件,并提取所述邮件的正文信息,以及基于预设的第二类动态黑名单库,判断所述正文信息中是否包含有位于所述第二类动态黑名单库中的指定的第二类钓鱼信息,确定包含时,判定所述邮件为钓鱼邮件,否则,判定所述邮件为非钓鱼邮件。
2.如权利要求1所述的***,其特征在于,还包括:
用户信息反馈装置,用于在根据用户指示确定存在与钓鱼邮件关联的钓鱼信息时,采用所述关联的钓鱼信息,对相应的动态黑名单库进行更新。
3.如权利要求1所述的***,其特征在于,所述第一类动态黑名单库至少包括邮件地址动态黑名单库、IP地址动态黑名单库和域名动态黑名单库中的一种或任意组合;
所述第一类钓鱼信息至少包括钓鱼邮件地址、钓鱼IP地址和钓鱼域名中的一种或任意组合;
所述第二类动态黑名单库至少包括关键词动态黑名单库或/和链接地址动态黑名单库;
所述第二类钓鱼信息至少包括关键词或/和链接地址。
4.如权利要求1、2或3所述的***,其特征在于,所述头部信息检测装置至少包括邮件地址检测子装置:
所述邮件地址检测子装置,用于基于获取的邮件的头部信息,确定对应的邮件地址,并基于预设的邮件地址动态黑名单库,判断所述邮件地址是否为所述邮件地址动态黑名单库中指定的钓鱼邮件地址,若是,则判定所述邮件为钓鱼邮件,否则,将所述邮件送入所述正文信息检测装置。
5.如权利要求4所述的***,其特征在于,所述头部信息检测装置进一步包括IP地址检测子装置:
所述IP地址检测子装置,用于在所述邮件地址检测子装置判定所述邮件地址不为所述邮件地址动态黑名单库中指定的钓鱼邮件地址时,基于所述头部信息,确定对应的IP地址,并基于预设的IP地址动态黑名单库,判断所述IP地址是否为所述IP地址动态黑名单库中指定的钓鱼IP地址,若是,则判定所述邮件为钓鱼邮件,否则,将所述邮件送入所述正文信息检测装置。
6.如权利要求5所述的***,其特征在于,所述头部信息检测装置进一步包括域名检测子装置:
所述域名检测子装置,用于在所述IP地址检测子装置判定所述IP地址不为所述IP地址动态黑名单库中指定的钓鱼IP地址时,基于所述头部信息,确定对应的域名和IP地址,以及基于所述IP地址,确定所述IP地址对应的映射域名,并判断所述域名与所述映射域名是否一致;
若是,则将所述邮件送入所述正文信息检测装置;
否则,基于预设的域名动态黑名单库,将所述域名与指定的钓鱼域名进行匹配度检测,获得的匹配度作为第一匹配度,并继续判断所述第一匹配度是否大于预设的第一预设阈值,若是,则判定所述邮件为钓鱼邮件,否则,将所述邮件送入所述正文信息检测装置。
7.如权利要求1、2或3所述的***,其特征在于,所述正文信息检测装置至少包括关键词检测子装置:
所述关键词检测子装置,用于接收所述头部信息检测装置发送的邮件,并提取所述邮件的正文信息,以及基于预设的关键词动态黑名单库,判断所述正文信息是否包含位于所述关键词动态黑名单库中指定的钓鱼关键词,若是,则判定所述邮件为钓鱼邮件,否则,判定所述邮件为非钓鱼邮件。
8.如权利要求7所述的***,其特征在于,所述正文信息检测装置进一步包括链接地址检测子装置:
所述链接地址检测子装置,用于在所述关键词检测子装置判定所述关键词不为所述关键词动态黑名单库中指定的钓鱼关键词时,判断所述正文信息是否包含链接地址;
确定不包含时,将所述邮件送入附件检测子装置;
确定包含时,提取所述链接地址,并基于预设的链接地址动态黑名单库,将所述链接地址与指定的钓鱼链接地址进行匹配度检测,获得的匹配度作为第二匹配度,确定所述第二匹配度大于预设的第二预设阈值时,判定所述邮件为钓鱼邮件,确定所述第二匹配度低于预设的第三预设阈值时,判定所述邮件为非钓鱼邮件,否则,将所述邮件送入附件检测子装置。
9.如权利要求8所述的***,其特征在于,所述正文信息检测装置进一步包括附件检测子装置:
所述附件检测子装置,用于在所述链接地址检测子装置判定所述链接地址不为所述链接地址动态黑名单库中指定的钓鱼链接地址时,对所述邮件进行附件检测,确定存在附件时,提示用户谨慎下载所述附件,否则,提示用户所述邮件为疑似邮件,谨慎点击;或者,
所述附件检测子装置,用于在所述链接地址检测子装置判定所述第二匹配度不大于所述第二预设阈值且不小于所述第三预设阈值时,对所述邮件进行附件检测,确定存在附件时,提示用户谨慎下载所述附件,否则,提示用户所述邮件为疑似邮件,谨慎点击。
10.一种钓鱼邮件检测方法,其特征在于,包括:
获取邮件的头部信息,并基于预设的第一类动态黑名单库,判断所述头部信息中是否包含有位于所述第一类动态黑名单库中的指定的第一类钓鱼信息;
确定包含时,判断所述邮件为钓鱼邮件;
确定不包含时,提取所述邮件的正文信息,以及基于预设的第二类动态黑名单库,判断所述正文信息中是否包含有位于所述第二类动态黑名单库中的指定的第二类钓鱼信息,确定包含时,判定所述邮件为钓鱼邮件,确定不包含时,判定所述邮件为非钓鱼邮件。
11.如权利要求10所述的方法,其特征在于,还包括:
根据用户指示确定存在与钓鱼邮件关联的钓鱼信息时,采用所述关联的钓鱼信息,对相应的动态黑名单库进行更新。
12.如权利要求10所述的方法,其特征在于,所述第一类动态黑名单库至少包括邮件地址动态黑名单库、IP地址动态黑名单库和域名动态黑名单库中的一种或任意组合;
所述第一类钓鱼信息至少包括钓鱼邮件地址、钓鱼IP地址和钓鱼域名中的一种或任意组合;
所述第二类动态黑名单库至少包括关键词动态黑名单库或/和链接地址动态黑名单库;
所述第二类钓鱼信息至少包括关键词或/和链接地址。
13.如权利要求10、11或12所述的方法,其特征在于,获取邮件的头部信息,并基于预设的第一类动态黑名单库,判断所述头部信息中是否包含有位于所述第一类动态黑名单库中的指定的第一类钓鱼信息,包括:
获取的邮件的头部信息,确定对应的邮件地址;
基于预设的邮件地址动态黑名单库,判断所述邮件地址是否为所述邮件地址动态黑名单库中指定的钓鱼邮件地址;
判定所述邮件地址为所述邮件地址动态黑名单库中指定的钓鱼邮件地址时,确定包含;
判定所述邮件地址不为所述邮件地址动态黑名单库中指定的钓鱼邮件地址时,确定不包含。
14.如权利要求13所述的方法,其特征在于,判定所述邮件地址不为所述邮件地址动态黑名单库中指定的钓鱼邮件地址时,确定不包含之后,进一步包括:
基于所述头部信息,确定对应的IP地址;
基于预设的IP地址动态黑名单库,判断所述IP地址是否为所述IP地址动态黑名单库中指定的钓鱼IP地址;
判定所述IP地址为所述IP地址动态黑名单库中指定的钓鱼IP地址时,确定包含;
判定所述IP地址不为所述IP地址动态黑名单库中指定的钓鱼IP地址时,确定不包含。
15.如权利要求14所述的方法,其特征在于,判定所述IP地址不为所述IP地址动态黑名单库中指定的钓鱼IP地址时,确定不包含之后,进一步包括:
基于所述头部信息,确定对应的域名和IP地址;
基于所述IP地址,确定所述IP地址对应的映射域名;
判断所述域名与所述映射域名是否一致;
判定一致时,确定不包含;
判定不一致时,基于预设的域名动态黑名单库,将所述域名与指定的钓鱼域名进行匹配度检测,获得的匹配度作为第一匹配度,并继续判断所述第一匹配度是否大于预设的第一预设阈值,若是,则确定包含,否则,确定不包含。
16.如权利要求10、11或12所述的方法,其特征在于,提取所述邮件的正文信息,以及基于预设的第二类动态黑名单库,判断所述正文信息中是否包含有位于所述第二类动态黑名单库中的指定的第二类钓鱼信息,包括:
提取所述邮件的正文信息;
基于预设的关键词动态黑名单库,判断所述正文信息是否包含位于所述关键词动态黑名单库中指定的钓鱼关键词;
判定所述正文信息包含位于所述关键词动态黑名单库中指定的钓鱼关键词时,确定包含;
判定所述正文信息不包含位于所述关键词动态黑名单库中指定的钓鱼关键词时,确定不包含。
17.如权利要求16所述的方法,其特征在于,判定所述正文信息不包含位于所述关键词动态黑名单库中指定的钓鱼关键词时,确定不包含之后,进一步包括:
继续判断所述正文信息是否包含链接地址;
确定所述正文信息包含链接地址时,提取所述链接地址,并基于预设的链接地址动态黑名单库,将所述链接地址与指定的钓鱼链接地址进行匹配度检测,获得的匹配度作为第二匹配度,确定所述第二匹配度大于预设的第二预设阈值时,确定包含,确定所述第二匹配度低于预设的第三预设阈值时,确定不包含,否则,对所述邮件进行附件检测;
确定所述正文信息不包含链接地址时,对所述邮件进行附件检测。
18.如权利要求17所述的方法,其特征在于,对所述邮件进行附件检测,包括:
确定存在附件时,提示用户谨慎下载所述附件,否则,提示用户所述邮件为疑似邮件,谨慎点击。
19.一种钓鱼邮件检测装置,其特征在于,包括:
第一处理单元,用于获取邮件的头部信息,并基于预设的第一类动态黑名单库,判断所述头部信息中是否包含有位于所述第一类动态黑名单库中的指定的第一类钓鱼信息;
第二处理单元,用于确定包含时,判断所述邮件为钓鱼邮件;
第三处理单元,用于确定不包含时,提取所述邮件的正文信息,以及基于预设的第二类动态黑名单库,判断所述正文信息中是否包含有位于所述第二类动态黑名单库中的指定的第二类钓鱼信息,确定包含时,判定所述邮件为钓鱼邮件,确定不包含时,判定所述邮件为非钓鱼邮件。
20.如权利要求19所述的装置,其特征在于,还包括更新单元,所述更新单元用于:
根据用户指示确定存在与钓鱼邮件关联的钓鱼信息时,采用所述关联的钓鱼信息,对相应的动态黑名单库进行更新。
21.如权利要求19所述的装置,其特征在于,所述第一类动态黑名单库至少包括邮件地址动态黑名单库、IP地址动态黑名单库和域名动态黑名单库中的一种或任意组合;
所述第一类钓鱼信息至少包括钓鱼邮件地址、钓鱼IP地址和钓鱼域名中的一种或任意组合;
所述第二类动态黑名单库至少包括关键词动态黑名单库或/和链接地址动态黑名单库;
所述第二类钓鱼信息至少包括关键词或/和链接地址。
22.如权利要求19、20或21所述的装置,其特征在于,获取邮件的头部信息,并基于预设的第一类动态黑名单库,判断所述头部信息中是否包含有位于所述第一类动态黑名单库中的指定的第一类钓鱼信息时,所述第一处理单元用于:
获取邮件的头部信息,确定对应的邮件地址;
基于预设的邮件地址动态黑名单库,判断所述邮件地址是否为所述邮件地址动态黑名单库中指定的钓鱼邮件地址;
判定所述邮件地址为所述邮件地址动态黑名单库中指定的钓鱼邮件地址时,确定包含;
判定所述邮件地址不为所述邮件地址动态黑名单库中指定的钓鱼邮件地址时,确定不包含。
23.如权利要求22所述的装置,其特征在于,判定所述邮件地址不为所述邮件地址动态黑名单库中指定的钓鱼邮件地址时,确定不包含之后,所述第一处理单元进一步用于:
基于所述头部信息,确定对应的IP地址;
基于预设的IP地址动态黑名单库,判断所述IP地址是否为所述IP地址动态黑名单库中指定的钓鱼IP地址;
判定所述IP地址为所述IP地址动态黑名单库中指定的钓鱼IP地址时,确定包含;
判定所述IP地址不为所述IP地址动态黑名单库中指定的钓鱼IP地址时,确定不包含。
24.如权利要求23所述的装置,其特征在于,判定所述IP地址不为所述IP地址动态黑名单库中指定的钓鱼IP地址时,确定不包含之后,所述第一处理单元进一步用于:
基于所述头部信息,确定对应的域名和IP地址;
基于所述IP地址,确定所述IP地址对应的映射域名;
判断所述域名与所述映射域名是否一致;
判定一致时,确定不包含;
判定不一致时,基于预设的域名动态黑名单库,将所述域名与指定的钓鱼域名进行匹配度检测,获得的匹配度作为第一匹配度,并继续判断所述第一匹配度是否大于预设的第一预设阈值,若是,则确定包含,否则,确定不包含。
25.如权利要求19、20或21所述的装置,其特征在于,提取所述邮件的正文信息,以及基于预设的第二类动态黑名单库,判断所述正文信息中是否包含有位于所述第二类动态黑名单库中的指定的第二类钓鱼信息时,所述第三处理单元用于:
提取所述邮件的正文信息;
基于预设的关键词动态黑名单库,判断所述正文信息是否包含位于所述关键词动态黑名单库中指定的钓鱼关键词;
判定所述正文信息包含位于所述关键词动态黑名单库中指定的钓鱼关键词时,确定包含;
判定所述正文信息不包含位于所述关键词动态黑名单库中指定的钓鱼关键词时,确定不包含。
26.如权利要求25所述的装置,其特征在于,判定所述正文信息不包含位于所述关键词动态黑名单库中指定的钓鱼关键词时,确定不包含之后,所述第三处理单元进一步用于:
继续判断所述正文信息是否包含链接地址;
确定所述正文信息包含链接地址时,提取所述链接地址,并基于预设的链接地址动态黑名单库,将所述链接地址与指定的钓鱼链接地址进行匹配度检测,获得的匹配度作为第二匹配度,确定所述第二匹配度大于预设的第二预设阈值时,确定包含,确定所述第二匹配度低于预设的第三预设阈值时,确定不包含,否则,对所述邮件进行附件检测;
确定所述正文信息不包含链接地址时,对所述邮件进行附件检测。
27.如权利要求26所述的装置,其特征在于,对所述邮件进行附件检测时,所述第三处理单元用于:
确定存在附件时,提示用户谨慎下载所述附件,否则,提示用户所述邮件为疑似邮件,谨慎点击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710071611.9A CN108418777A (zh) | 2017-02-09 | 2017-02-09 | 一种钓鱼邮件检测方法、装置及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710071611.9A CN108418777A (zh) | 2017-02-09 | 2017-02-09 | 一种钓鱼邮件检测方法、装置及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108418777A true CN108418777A (zh) | 2018-08-17 |
Family
ID=63125016
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710071611.9A Pending CN108418777A (zh) | 2017-02-09 | 2017-02-09 | 一种钓鱼邮件检测方法、装置及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108418777A (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109039874A (zh) * | 2018-09-17 | 2018-12-18 | 杭州安恒信息技术股份有限公司 | 一种基于行为分析的邮件审计方法及装置 |
CN110648118A (zh) * | 2019-09-27 | 2020-01-03 | 深信服科技股份有限公司 | 一种鱼叉邮件检测方法、装置、电子设备及可读存储介质 |
CN110995576A (zh) * | 2019-12-16 | 2020-04-10 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及存储介质 |
CN111131137A (zh) * | 2018-11-01 | 2020-05-08 | 财团法人资讯工业策进会 | 可疑封包检测装置及其可疑封包检测方法 |
CN111404806A (zh) * | 2020-03-16 | 2020-07-10 | 深信服科技股份有限公司 | 鱼叉邮件检测方法、装置、设备及计算机可读存储介质 |
CN112039874A (zh) * | 2020-08-28 | 2020-12-04 | 绿盟科技集团股份有限公司 | 一种恶意邮件的识别方法及装置 |
CN113630397A (zh) * | 2021-07-28 | 2021-11-09 | 上海纽盾网安科技有限公司 | 电子邮件安全控制方法、客户端及*** |
CN114004604A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种邮件中url数据的检测方法、装置、电子设备 |
CN114726603A (zh) * | 2022-03-30 | 2022-07-08 | 北京明朝万达科技股份有限公司 | 一种邮件检测方法及装置 |
CN114760119A (zh) * | 2022-04-02 | 2022-07-15 | 北京安博通金安科技有限公司 | 一种钓鱼邮件攻击检测方法、装置及*** |
CN115643095A (zh) * | 2022-10-27 | 2023-01-24 | 山东星维九州安全技术有限公司 | 一种用于公司内部网络安全测试的方法及*** |
CN116319654A (zh) * | 2023-04-11 | 2023-06-23 | 华能信息技术有限公司 | 一种智慧型垃圾邮件扫描方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102098235A (zh) * | 2011-01-18 | 2011-06-15 | 南京邮电大学 | 一种基于文本特征分析的钓鱼邮件检测方法 |
CN102223316A (zh) * | 2011-06-15 | 2011-10-19 | 成都市华为赛门铁克科技有限公司 | 电子邮件处理方法及装置 |
US20150067833A1 (en) * | 2013-08-30 | 2015-03-05 | Narasimha Shashidhar | Automatic phishing email detection based on natural language processing techniques |
CN105072137A (zh) * | 2015-09-15 | 2015-11-18 | 蔡丝英 | 鱼叉式钓鱼邮件的检测方法及装置 |
US20160344770A1 (en) * | 2013-08-30 | 2016-11-24 | Rakesh Verma | Automatic Phishing Email Detection Based on Natural Language Processing Techniques |
-
2017
- 2017-02-09 CN CN201710071611.9A patent/CN108418777A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102098235A (zh) * | 2011-01-18 | 2011-06-15 | 南京邮电大学 | 一种基于文本特征分析的钓鱼邮件检测方法 |
CN102223316A (zh) * | 2011-06-15 | 2011-10-19 | 成都市华为赛门铁克科技有限公司 | 电子邮件处理方法及装置 |
US20150067833A1 (en) * | 2013-08-30 | 2015-03-05 | Narasimha Shashidhar | Automatic phishing email detection based on natural language processing techniques |
US20160344770A1 (en) * | 2013-08-30 | 2016-11-24 | Rakesh Verma | Automatic Phishing Email Detection Based on Natural Language Processing Techniques |
CN105072137A (zh) * | 2015-09-15 | 2015-11-18 | 蔡丝英 | 鱼叉式钓鱼邮件的检测方法及装置 |
Non-Patent Citations (1)
Title |
---|
GILCHAN PARK: "Text-Based Phishing Detection Using A Simulation Model", 《PURDUE UNIVERSITYPURDUE E-PUBS》 * |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109039874B (zh) * | 2018-09-17 | 2021-08-20 | 杭州安恒信息技术股份有限公司 | 一种基于行为分析的邮件审计方法及装置 |
CN109039874A (zh) * | 2018-09-17 | 2018-12-18 | 杭州安恒信息技术股份有限公司 | 一种基于行为分析的邮件审计方法及装置 |
CN111131137A (zh) * | 2018-11-01 | 2020-05-08 | 财团法人资讯工业策进会 | 可疑封包检测装置及其可疑封包检测方法 |
CN110648118A (zh) * | 2019-09-27 | 2020-01-03 | 深信服科技股份有限公司 | 一种鱼叉邮件检测方法、装置、电子设备及可读存储介质 |
CN110995576A (zh) * | 2019-12-16 | 2020-04-10 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及存储介质 |
CN111404806A (zh) * | 2020-03-16 | 2020-07-10 | 深信服科技股份有限公司 | 鱼叉邮件检测方法、装置、设备及计算机可读存储介质 |
CN112039874B (zh) * | 2020-08-28 | 2023-03-24 | 绿盟科技集团股份有限公司 | 一种恶意邮件的识别方法及装置 |
CN112039874A (zh) * | 2020-08-28 | 2020-12-04 | 绿盟科技集团股份有限公司 | 一种恶意邮件的识别方法及装置 |
CN113630397A (zh) * | 2021-07-28 | 2021-11-09 | 上海纽盾网安科技有限公司 | 电子邮件安全控制方法、客户端及*** |
CN114004604A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种邮件中url数据的检测方法、装置、电子设备 |
CN114726603A (zh) * | 2022-03-30 | 2022-07-08 | 北京明朝万达科技股份有限公司 | 一种邮件检测方法及装置 |
CN114726603B (zh) * | 2022-03-30 | 2023-09-01 | 北京明朝万达科技股份有限公司 | 一种邮件检测方法及装置 |
CN114760119A (zh) * | 2022-04-02 | 2022-07-15 | 北京安博通金安科技有限公司 | 一种钓鱼邮件攻击检测方法、装置及*** |
CN114760119B (zh) * | 2022-04-02 | 2023-12-12 | 北京安博通金安科技有限公司 | 一种钓鱼邮件攻击检测方法、装置及*** |
CN115643095A (zh) * | 2022-10-27 | 2023-01-24 | 山东星维九州安全技术有限公司 | 一种用于公司内部网络安全测试的方法及*** |
CN115643095B (zh) * | 2022-10-27 | 2023-08-29 | 山东星维九州安全技术有限公司 | 一种用于公司内部网络安全测试的方法及*** |
CN116319654A (zh) * | 2023-04-11 | 2023-06-23 | 华能信息技术有限公司 | 一种智慧型垃圾邮件扫描方法 |
CN116319654B (zh) * | 2023-04-11 | 2024-05-28 | 华能信息技术有限公司 | 一种智慧型垃圾邮件扫描方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108418777A (zh) | 一种钓鱼邮件检测方法、装置及*** | |
CN105516113B (zh) | 用于自动网络钓鱼检测规则演进的***和方法 | |
US8918466B2 (en) | System for email processing and analysis | |
RU2607229C2 (ru) | Системы и способы динамического агрегирования показателей для обнаружения сетевого мошенничества | |
JP5990284B2 (ja) | キャラクター・ヒストグラムを用いるスパム検出のシステムおよび方法 | |
CN109274632B (zh) | 一种网站的识别方法及装置 | |
RU2601190C2 (ru) | Система и способы обнаружения спама с помощью частотных спектров строк символов | |
CN105119909B (zh) | 一种基于页面视觉相似性的仿冒网站检测方法和*** | |
US20100281536A1 (en) | Phish probability scoring model | |
US7890588B2 (en) | Unwanted mail discriminating apparatus and unwanted mail discriminating method | |
CN104217160A (zh) | 一种中文钓鱼网站检测方法及*** | |
CN103685307A (zh) | 基于特征库检测钓鱼欺诈网页的方法及***、客户端、服务器 | |
CN109922065B (zh) | 恶意网站快速识别方法 | |
Rahim et al. | Detecting the Phishing Attack Using Collaborative Approach and Secure Login through Dynamic Virtual Passwords. | |
CN109450929A (zh) | 一种安全检测方法及装置 | |
CN109543408A (zh) | 一种恶意软件识别方法和*** | |
CN113704328A (zh) | 基于人工智能的用户行为大数据挖掘方法及*** | |
Sankhwar et al. | Email phishing: an enhanced classification model to detect malicious urls | |
CN106790025B (zh) | 一种对链接进行恶意性检测的方法及装置 | |
CN107018152A (zh) | 消息拦截方法、装置和电子设备 | |
CN110061981A (zh) | 一种攻击检测方法及装置 | |
JP4564916B2 (ja) | フィッシング詐欺対策方法、端末、サーバ及びプログラム | |
KR102648653B1 (ko) | 메일 보안 기반의 제로데이 url 공격 방어 서비스 제공 장치 및 그 동작 방법 | |
CN112039874B (zh) | 一种恶意邮件的识别方法及装置 | |
KR102546068B1 (ko) | 위협 요소의 정량 분석 기반 이메일 보안 진단 장치 및 그 동작 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180817 |