CN109450929A - 一种安全检测方法及装置 - Google Patents
一种安全检测方法及装置 Download PDFInfo
- Publication number
- CN109450929A CN109450929A CN201811526201.XA CN201811526201A CN109450929A CN 109450929 A CN109450929 A CN 109450929A CN 201811526201 A CN201811526201 A CN 201811526201A CN 109450929 A CN109450929 A CN 109450929A
- Authority
- CN
- China
- Prior art keywords
- detected
- content information
- information
- object content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种安全检测方法及装置,涉及网络安全领域。本发明实施例能够准确、高效的实现对网络攻击的检测。该方法包括:获取待检测电子邮件;提取所述待检测电子邮件中的目标内容信息;其中,所述目标内容信息至少包括:电子邮件中发件人名称信息、邮件中继路由信息、邮件传送所耗时长、邮件发送端设备信息、邮件正文中的主要内容中的一项或多项;根据所述待检测电子邮件中的目标内容信息,确定所述待检测电子邮件的安全性。本发明应用于对电子邮件的安全检测中。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种安全检测方法及装置。
背景技术
目前,为了防御网络攻击,现有技术中通常采用的网络攻击防护技术包括两种:一种是特征码检测技术,另一种是沙盒动态检测技术。其中,特征码检测技术主要通过对接收到的邮件中的文件(例如URL、运行插件等)进行特征提取,通过将提取的特征与特征库中的特征进行对比,进而判断文件中是否存在恶意插件等威胁。而沙盒动态检测技术则是通过将邮件中的文件置于一个真实的操作***和应用程序中运行,例如WEB插件、Adobe Reader和Flash等,然后对运行状态进行分析,进而判断文件中是否存在恶意插件等威胁。
在利用上述现有的网络攻击防护技术对网络攻击进行检测时往往都达不到满意的效果。具体的,在利用特征码检测技术对电子邮件进行检测时,当电子邮件中存在定向攻击时,由于定向攻击是以特定的个体为目标,每一封定向攻击邮件中的恶意插件都是特殊的、不可预测的,因此利用特征码检测技术很难有效检测定向攻击。而沙盒动态检测技术,虽然可以对定向攻击邮件中的文件进行有效分析从而能够准确检测出网络攻击,但由于这种方法分析时间过长,因此存在检测效率低下的问题。
因此,如何能够准确、高效的实现对网络攻击的检测,这是目前本领域急需解决的技术问题。
发明内容
本发明提供一种安全检测方法及装置,能够准确、高效的实现对网络攻击的检测。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,本发明实施例提供一种安全检测方法,包括:获取待检测电子邮件;提取所述待检测电子邮件中的目标内容信息;其中,所述目标内容信息至少包括:电子邮件中发件人名称信息、邮件中继路由信息、邮件传送所耗时长、邮件发送端设备信息、邮件正文中的主要内容中的一项或多项;根据所述待检测电子邮件中的目标内容信息,确定所述待检测电子邮件的安全性。
第二方面,本发明实施例提供一种安全检测装置,包括:获取单元,用于获取待检测电子邮件;提取单元,用于在所述获取单元获取所述待检测电子邮件之后,提取所述待检测电子邮件中的目标内容信息;其中,所述目标内容信息至少包括:电子邮件中发件人名称信息、邮件中继路由信息、邮件传送所耗时长、邮件发送端设备信息、邮件正文中的主要内容中的一项或多项;确定单元,用于在所述提取单元提取所述待检测电子邮件中的目标内容信息之后,根据所述待检测电子邮件中的目标内容信息,确定所述待检测电子邮件的安全性。
第三方面,本发明实施例提供一种安全检测装置,包括:处理器、存储器、总线和通信接口;存储器用于存储计算机执行指令,处理器与存储器通过总线连接,当安全检测装置运行时,处理器执行存储器存储的计算机执行指令,以使安全检测装置执行如上述第一方面所提供的安全检测方法。
第四方面,本发明实施例提供一种计算机存储介质,包括指令,当其在安全检测装置上运行时,使得安全检测装置执行如上述第一方面所提供的安全检测方法。
本发明实施例中,通过提取电子邮件中的目标内容特征,并通过分析这些目标内容特征来判断电子邮件的安全性。相比现有的特征码检测技术,本发明提供的安全检测方法能够规避检测过程对特征码的依赖,保证网络攻击检测的准确性。另外,相比现有的沙盒动态检测技术,本发明提供的安全检测方法也不需要通过运行电子邮件中的文件来检测文件的安全性,提高了检测的高效性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本发明实施例提供的一种安全检测方法的流程示意图;
图2为本发明实施例提供的一种攻击事件说明的结构示意图像;
图3为本发明实施例提供的一种安全检测装置的结构示意图;
图4为本发明实施例提供的一种安全检测装置的结构示意图;
图5为本发明实施例提供的一种安全检测装置的结构示意图。
具体实施方式
下面结合附图,对本发明的实施例进行描述。
在本发明实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。此外,在本发明实施例的描述中,除非另有说明,“多个”的含义是指两个或两个以上。
首先,对本发明的发明原理进行介绍:本发明中从社会工程学的角度出发,考虑到包含恶意攻击的电子邮件在内容上往往与正常的软件存在一定的差异。因此,可以通过提取电子邮件的内容的某些特征,并对这些特征进行分析来判断电子邮件的安全性。例如,有一封电子邮件是一个号称发送于abc.gov.cn,但实际上使用的是消费者MTA(ISP ADSL)发送了一封金融相关的邮件,并还有一个可疑的附件。可以看出,该邮件中发件人自称是政府机关,但使用的MTA却是消费者MTA,另外邮件内容却是金融相关,那么这类邮件通常存在网络攻击的可能性都是比较大的。
基于上述发现,本发明中可以通过提取电子邮件中的目标内容特征,并通过分析这些目标内容特征来判断电子邮件的安全性。相比现有的特征码检测技术,本发明提供的安全检测方法能够规避检测过程对特征码的依赖,保证安全检测的准确性。另外,相比现有的沙盒动态检测技术,本发明提供的安全检测方法也不需要通过运行电子邮件中的文件来检测文件的安全性,提高了检测的高效性。
基于上述发明构思及原理,本发明实施例提供一种安全检测方法,如图1所示,该方法包括:
S101、获取多个样本电子邮件,提取多个样本电子邮件中的目标内容信息。
具体的,目标内容信息可以包括:发件人名称信息、邮件中继路由信息、邮件传输所耗时长、邮件发送端设备信息、邮件正文中的主要内容等信息。
其中,多个样本电子邮件中至少包括存在网络攻击的电子邮件样本。另外,为了保证后续步骤提出的异常特征组合的准确性,上述的多个样本电子邮件中还可以包括正常电子邮件样本。
其中,发件人名称信息,具体可以包括电子邮件中发件人自称的名号,以及电子邮件中发件人的邮箱地址。其中,可以通过特征提取技术,从电子邮件中读取电子邮件最后落款中的人名、称号的方式,作为电子邮件中发件人自称的名号。
邮件中继路由信息,具体包括电子邮件的传输路径信息。例如,邮件中继路由信息中可以包括电子邮件发送过程中所经过的邮件服务器、MTA(Mail Transfer Agent,传送代理)、MUA(MAIL USER AGENT,邮件用户代理)的标识等信息。
邮件传输所耗时长,具体包括电子邮件从发送端传输到接收端所消耗的时长。
邮件发送端设备信息,具体包括发送端的IP地址、发送端的邮件服务器标识等信息。
邮件正文中的主要内容,具体包括电子邮件的主题,电子邮件中包括的账号/密码、财务信息等内容。
S102、根据提取到的多个样本电子邮件中的目标内容信息,生成异常特征组合,并将异常特征组合存储至特征库中。
具体的,通过多个样本电子邮件的目标内容信息,可以提取出存在网络攻击的电子邮件在这些目标内容信息中所具有的特点,并生成相应的异常特征组合。例如,可以通过机器学习等方式,对多个样本电子邮件的目标内容信息进行分析,生成相应的异常特征组合。
每个异常特征组合中可以包括对目标内容信息中发件人名称信息、邮件中继路由信息、邮件传输所耗时长、邮件发送端设备信息、邮件正文中的主要内容等信息中的一项或多项的分析结果。例如,某个异常特征组合可以包括:“发件人自称的名号与邮件地址无法对应”+“邮件正文中涉及财务信息”+“邮件正文中包括账号/密码信息”。
然后将生成的异常特征组合都存储至特征库中,当特征库中的异常特征组合足够完备时,即可利用该特征库来对即将接受到的电子邮件进行检测。
在一种实现方式中,以多个样本电子邮件中存在网络攻击的电子邮件样本中的一个(即下文所称“目标样本电子邮件”)为例,根据提取到的多个样本电子邮件中的目标内容信息,生成异常特征组合,具体包括:
S1021、根据目标样本电子邮件中的发件人名称信息,确定目标样本电子邮件发件人自称的名号的类型,以及邮箱地址的类型。其中,目标样本电子邮件为多个样本电子邮件中存在网络攻击的电子邮件样本中的一个。
其中,发件人自称的名号的类型,可以根据需要进行划分。具体的,可以将发件人自称的名号,分为:企业、个人、政府等类型。再或者,考虑到有些场景中恶意的发件人为了博得收件人的信任,会给自己起一个更为亲切的称号,例如“*哥”“*姐”等称呼,因此发件人自称的名号的类型中还包括“昵称”这个类别。
例如,一个号称某某政府机关,邮件地址为******@qq.com,实际使用的是消费者MTA(ISP ADSL)的一封金融相关的目标样本电子邮件。则该电子邮件的发件人名称信息包括“发件人自称的名号为某某政府机关”、“邮件地址为******@qq.com”。进而可以确定,该目标样本电子邮件发件人自称的名号的类型为“政府”,邮件地址的类型为“普通商业邮箱”。
S1022、根据目标样本电子邮件中继路由信息,确定目标样本电子邮件的路由特征。
S1023、根据目标样本电子邮件的邮件发送端设备信息,判断邮件发送端的IP信誉度。
S1024、根据目标样本电子邮件的邮件正文中的主要内容,判断目标样本电子邮件中是否存在账号/密码信息、财务信息。
S1025、根据上述S1021-S1024的分析结果,生成异常特征组合。
需要说明的是,本发明上述实施例中是通过对多个目标样本电子邮件的目标内容信息进行分析生成异常特征组合,并将异常特征组合存储至特征库中的这种方式来构建特征库的。在具体实施时,也可采用其他方式来构建特征库,例如,开发人员直接编写特征库中的异常特征组合。对此本发明可以不做限制。
在执行完上述S101和S102的步骤之后,或者通过其他建立特征库的步骤之后,则会生成一个包含各种异常特征组合的特征库,之后可以开始对接收到的待检测电子邮件的安全性进行检测。
S103、获取待检测电子邮件。
S104、提取待检测电子邮件中的目标内容信息;其中,目标内容信息至少包括:电子邮件中发件人名称信息、邮件中继路由信息、邮件传送所耗时长、邮件发送端设备信息、邮件正文中的主要内容中的一项或多项。
S105、根据待检测电子邮件中的目标内容信息,确定待检测电子邮件的安全性。
本发明实施例中所称“确定待检测电子邮件的安全性”,具体可以包括判断待检测电子邮件中是否存在网络攻击以及存在网络攻击可能性的大小的各种评判方式。例如,根据待检测电子邮件中的目标内容信息进行某种特定计算或者判断,当计算结果或判断结果符合某个预设条件时,则可以得出关于待检测电子邮件是否存在网络攻击以及存在网络攻击的可能性大小的各类结论,上述所描述的情形,都可以包括在本发明实施例“确定待检测电子邮件的安全性”的范围内。
具体的,在一种实现方式中,基于上述生成的保存有异常特征组合的特征库,步骤S105具体可以包括:
S1051、在特征库中查询与待检测电子邮件中的目标内容信息相匹配的异常特征组合。
其中,特征库中存储有n种异常特征组合,n种异常特征组合中的每一项异常特征组合分别包括对电子邮件的目标内容信息中发件人名称信息、邮件中继路由信息、邮件传输所耗时长、邮件发送端设备信息、邮件正文中的主要内容等信息中的一项或多项的分析结果。
具体的,考虑到在特征库中查询与待检测电子邮件中的目标内容信息相匹配的异常特征组合时,由于特征库中通常存储有多条异常特征组合,并且不同待检测电子邮件所提取的目标内容信息也有所不同,例如:有些电子邮件中可能没有邮件正文;有些电子邮件可能没有发件人自称的名号等。因此,为了提高匹配的效率,本发明实施例中,步骤S1051具体包括:
S1051a、根据目标内容信息中各项内容信息的出现次数以及各项内容信息的扫描速度,确定待检测电子邮件中的目标内容信息中各项内容信息的优先级。
其中,目标内容信息中各项内容信息具体包括了上述所称:电子邮件中发件人名称信息、邮件中继路由信息、邮件传送所耗时长、邮件发送端设备信息、邮件正文中的主要内容中的一项或多项。目标内容信息中各项内容信息的出现次数以及各项内容信息的扫描速度,可以分别为不同种类的电子邮件中各项内容信息的出现次数的均值以及各项内容信息的扫描速度的均值。
本发明中,考虑到在目标内容信息中,出现次数越多的内容信息更便于在特征库中找到相比配的异常特征组合。而扫描速度越快内容信息则能够更快的获取到,也能够更快的进行匹配。因此本发明中根据目标内容信息中各项内容信息的出现次数以及各项内容信息的扫描速度,排列待检测电子邮件中的目标内容信息中各项内容信息的优先级,从而提高了检测速度。
S1051b、按照待检测电子邮件中的目标内容信息中各项内容信息的优先级的高低顺序,依次在特征库中查询与待检测电子邮件中的目标内容信息相互匹配的异常特征组合。
具体的,在一种实现方式中,步骤S1052b具体包括:
1)选择待检测电子邮件中的目标内容信息中优先级最高的第一内容信息。
例如,若目标内容信息包括电子邮件中发件人名称信息、邮件中继路由信息、邮件传送所耗时长、邮件发送端设备信息、邮件正文中的主要内容五种内容信息。则第一内容信息指上述五种内容信息中优先级最高的一个。
2)在特征库中,查询包括与第一内容信息对应的异常特征的异常特征组合。
3)在包括与第一内容信息对应的异常特征的异常特征组合中,查询与待检测电子邮件中的目标内容信息相互匹配的异常特征组合。
4)若在包括与第一内容信息对应的异常特征的异常特征组合中,没有查询到与待检测电子邮件中的目标内容信息相互匹配的异常特征组合,则选择待检测电子邮件中的目标内容信息中优先级第二高的第二内容信息,并重复上步骤1)-3)的步骤,直至查询到与与待检测电子邮件中的目标内容信息相互匹配的异常特征组合。
示例性的,假设待检测电子邮件A中的目标内容信息包括电子邮件中发件人名称信息、邮件中继路由信息、邮件传送所耗时长。这三个信息的优先级为:电子邮件中发件人名称信息>邮件中继路由信息>邮件传送所耗时长。需要说明的是,本实例中待检测电子邮件A中仅包括了三项内容信息,而没有邮件发送端设备信息、邮件正文中的主要内容,该实例仅为了对方法进行说明,具体应用时待检测电子邮件中所包括的内容信息则根据实际情况而定。
另外,还假设特征库中包括三种异常特征组合:
第一组合:特征1、特征3;
第二组合:特征1、特征4;
第三组合:特征2、特征5。
并且,特征1对应着目标内容信息中的电子邮件中发件人名称信息(例如,特征1可以为电子邮件中发件人自称的名号的类型与邮箱地址的类型不对应);特征2对应着目标内容信息中的邮件中继路由信息(例如,特征2可以是电子邮件中继路由次数大于阈值次数),特征3对应着目标内容信息中的邮件传送所耗时长(例如,特征3可以是邮件传送时长大于阈值时间),特征4对应着目标内容信息中的邮件发送端设备信息(例如,特征4可以是发送端的IP信誉度低),特征5对应着邮件正文中的主要内容(例如,特征5可以是邮件正文中包括账号/密码信息、财务信息中的一项)。
那么,按照本发明实施例所提供的方法,首先确定待检测电子邮件A中优先级最高的内容信息为电子邮件中发件人名称信息。然后,在特征库中查询包括与电子邮件中发件人名称信息对应的特征即特征1的异常特征组合,即第一组合和第二组合。然后,在第一组合和第二组合中查询与待检测电子邮件中的目标内容信息相互匹配的异常特征组合,可以看出第一组合包括与电子邮件中发件人名称信息对应的特征1,以及与邮件传送所耗时长对应的特征3,因此第一组合即为与待检测电子邮件中的目标内容信息相互匹配的异常特征组合。
进一步的,本发明实施例还包括:
S1052、根据查询结果,确定待检测电子邮件的安全性。
具体的,若在特征库中能够查询到与待检测电子邮件中的目标内容信息相匹配的异常特征组合,则确定待检测电子邮件存在被攻击的危险;若在特征库中没有查询到与待检测电子邮件中的目标内容信息相匹配的异常特征组合,则确定待检测电子邮件为安全邮件。
另外,在一种实现方式中,为了保证特征库中异常特征组合的有效性,本发明实施例所提供的安全检测方法中,在根据待检测电子邮件中的目标内容信息,确定待检测电子邮件的安全性之后,还包括:
S106、将待检测电子邮件置入沙盒中运行,根据运行结果更新特征库中的异常特征组合。
具体的,本发明中考虑到利用电子邮件中的目标内容信息对电子邮件的安全性进行判断时可能会存在漏报或者虚报的可能,因此本发明中采用了利用沙盒分析技术对上述S105确定出的安全性的结果进行核查,并根据核查结果对特征库中的异常特征组合进行更新,以保证特征库中异常特征组合的有效性。
具体的,将待检测电子邮件置入沙盒中运行,根据运行结果更新特征库中的异常特征组合,具体可以包括:若运行结果与步骤S105确定出的待检测电子邮件的安全性评判结果不一致时,将根据待检测电子邮件的目标内容信息,更新特征库中的异常特征组合。
在另一实现方式中,考虑到本发明中可以通过待检测电子邮件的目标内容信息判断待检测邮件的安全性,而这种判断方式相比现有的特征码检测技术更加通俗易懂。例如,若向用户说明:“因为这个电子邮件中发件人的名号与其使用的电子邮件的地址无法对应,并且邮件内容中涉及财务信息,所以这个电子邮件存在被攻击危险”,通常这种情况用户时听得懂的。而若向用户说明“该邮件的附件文件中包括某个特征代码,所以该电子邮件存在被攻击危险”,这种情况下除非用户为本领域技术人员,否则很难听懂。基于上述情况,在根据待检测电子邮件中的目标内容信息,确定待检测电子邮件的安全性之后,本发明实施例还包括:
S107、若确定待检测电子邮件存在被网络攻击的危险之后,生成攻击事件说明。以便用户知晓攻击事件说明中的内容。
本发明实施例中攻击事件说明,用于向客户提供便于理解的说明。其中攻击事件说明中包括:待检测电子邮件所匹配的异常特征组合的内容,以及风险等级信息。
示例性的,如图2所示,为本发明实施例提供的一种攻击事件说明的结构示意图像。其中包括该电子邮件所匹配的异常特征组合的内容“传送路径包含了低信誉的邮件服务器+不一致的收件人账号”,风险等级为“高”。
本发明实施例中,通过生成包含有待检测电子邮件所匹配的异常特征组合的内容以及风险等级信息的攻击事件说明,能够使用户更加直观的了解到所接收到的电子邮件可能存在的风险,以便于用户进行相应的处理操作。
本发明实施例中,通过提取电子邮件中的目标内容特征,并通过分析这些目标内容特征来判断电子邮件的安全性。相比现有的特征码检测技术,本发明提供的安全检测方法能够规避检测过程对特征码的依赖,保证网络攻击检测的准确性。另外,相比现有的沙盒动态检测技术,本发明提供的安全检测方法也不需要通过运行电子邮件中的文件来检测文件的安全性,提高了检测的高效性。
实施例二:
本发明实施例还提供一种安全检测装置,用于执行上述实施例一所提供的安全检测方法。如图3所示,为本发明实施例提供的安全检测装置的一种可能的结构示意图。具体的,该安全检测装置20,包括:获取单元201、提取单元202、确定单元203。其中:
获取单元201,用于获取待检测电子邮件;
提取单元202,用于在获取单元201获取待检测电子邮件之后,提取待检测电子邮件中的目标内容信息;其中,目标内容信息至少包括:电子邮件中发件人名称信息、邮件中继路由信息、邮件传送所耗时长、邮件发送端设备信息、邮件正文中的主要内容中的一项或多项;
确定单元203,用于在提取单元202提取待检测电子邮件中的目标内容信息之后,根据待检测电子邮件中的目标内容信息,确定待检测电子邮件的安全性。
可选的,确定单元203,具体包括:查询子单元2031,确定子单元2032;其中,
查询子单元2031,用于在特征库中查询与待检测电子邮件中的目标内容信息相匹配的异常特征组合;其中,特征库中存储有n种异常特征组合,n种异常特征组合分别包括对电子邮件的目标内容信息中发件人名称信息、邮件中继路由信息、邮件传输所耗时长、邮件发送端设备信息、邮件正文中的主要内容等信息中的一项或多项的分析结果;
确定子单元2032,用于若查询子单元2031在特征库中能够查询到与待检测电子邮件中的目标内容信息相匹配的异常特征组合,则确定待检测电子邮件存在被攻击的危险;若查询子单元在特征库中没有查询到与待检测电子邮件中的目标内容信息相匹配的异常特征组合,则确定待检测电子邮件为安全邮件。
可选的,查询子单元2031,具体用于根据目标内容信息中各项内容信息的出现次数以及目标内容信息中各项内容信息的扫描速度,确定待检测电子邮件中的目标内容信息中各项内容信息的优先级;
查询子单元2031,还具体用于按照待检测电子邮件中的目标内容信息中各项内容信息的优先级的高低顺序,依次在特征库中查询与待检测电子邮件中的目标内容信息相互匹配的异常特征组合。
可选的,安全检测装置20还包括:更新单元204;
更新单元204,用于在确定单元根据待检测电子邮件中的目标内容信息,确定待检测电子邮件的安全性之后,将待检测电子邮件置入沙盒中运行,根据运行结果更新特征库中的异常特征组合。
可选的,安全检测装置20还包括:说明生成单元205;
说明生成单元205,用于在确定单元确定待检测电子邮件存在被攻击的危险之后,生成攻击事件说明,以便用户知晓攻击事件说明中的内容;其中,攻击事件说明中包括:待检测电子邮件所匹配的异常特征组合的内容,以及风险等级信息。
本发明实施例中提供的安全检测装置中各模块所的功能以及所产生的效果可以参照上述实施例一安全检测方法中的对应的描述内容,在此不再赘述。
在采用集成的单元的情况下,图4示出了上述实施例中所涉及的安全检测装置的一种可能的结构示意图。安全检测装置30包括:处理模块301、通信模块302和存储模块303。处理模块301用于对安全检测装置30的动作进行控制管理,例如,处理模块301用于支持安全检测装置30执行图1中的过程S101-S107。通信模块302用于支持安全检测装置与其他实体的通信。存储模块303用于存储安全检测装置的程序代码和数据。
其中,处理模块301可以是处理器或控制器,例如可以是中央处理器(centralprocessing unit,CPU),通用处理器,数字信号处理器(digital signal processor,DSP),专用集成电路(application-specific integrated circuit,ASIC),现场可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信模块302可以是收发器、收发电路或通信接口等。存储模块303可以是存储器。
当处理模块301为如图5所示的处理器,通信模块302为图5的收发器,存储模块303为图5的存储器时,本发明实施例所涉及的安全检测装置可以为如下的安全检测装置40。
参照图5所示,该安全检测装置40包括:处理器401、收发器402、存储器403和总线404。
其中,处理器401、收发器402、存储器403通过总线404相互连接;总线404可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
处理器401可以是一个通用中央处理器(Central Processing Unit,CPU),微处理器,特定应用集成电路(Application-Specific Integrated Circuit,ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。
存储器403可以是只读存储器(Read-Only Memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(Random Access Memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(ElectricallyErasable Programmable Read-only Memory,EEPROM)、只读光盘(Compact Disc Read-Only Memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过总线与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器402用于存储执行本发明方案的应用程序代码,并由处理器401来控制执行。收发器402用于接收外部设备输入的内容,处理器401用于执行存储器403中存储的应用程序代码,从而实现本发明实施例中所述安全检测方法。
应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital Subscriber Line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种安全检测方法,其特征在于,包括:
获取待检测电子邮件;
提取所述待检测电子邮件中的目标内容信息;其中,所述目标内容信息至少包括:电子邮件中发件人名称信息、邮件中继路由信息、邮件传送所耗时长、邮件发送端设备信息、邮件正文中的主要内容中的一项或多项;
根据所述待检测电子邮件中的目标内容信息,确定所述待检测电子邮件的安全性。
2.根据权利要求1所述安全检测方法,其特征在于,所述根据所述目标内容信息,确定待检测电子邮件的安全性,具体包括:
在特征库中查询与所述待检测电子邮件中的目标内容信息相匹配的异常特征组合;其中,所述特征库中存储有n种异常特征组合,所述n种异常特征组合分别包括对电子邮件的目标内容信息中发件人名称信息、邮件中继路由信息、邮件传输所耗时长、邮件发送端设备信息、邮件正文中的主要内容等信息中的一项或多项的分析结果;
若在所述特征库中能够查询到与所述待检测电子邮件中的目标内容信息相匹配的异常特征组合,则确定所述待检测电子邮件存在被攻击的危险;若在所述特征库中没有查询到与所述待检测电子邮件中的目标内容信息相匹配的异常特征组合,则确定所述待检测电子邮件为安全邮件。
3.根据权利要求2所述安全检测方法,其特征在于,所述在特征库中查询与所述待检测电子邮件中的目标内容信息相匹配的异常特征组合,具体包括:
根据目标内容信息中各项内容信息的出现次数以及目标内容信息中各项内容信息的扫描速度,确定所述待检测电子邮件中的目标内容信息中各项内容信息的优先级;
按照所述待检测电子邮件中的目标内容信息中各项内容信息的优先级的高低顺序,依次在所述特征库中查询与所述待检测电子邮件中的目标内容信息相互匹配的异常特征组合。
4.根据权利要求1-3所述安全检测方法,其特征在于,在所述根据所述待检测电子邮件中的目标内容信息,确定所述待检测电子邮件的安全性之后,所述方法还包括:
将所述待检测电子邮件置入沙盒中运行,根据运行结果更新所述特征库中的异常特征组合。
5.根据权利要求1-3所述安全检测方法,其特征在于,在所述根据所述待检测电子邮件中的目标内容信息,确定所述待检测电子邮件的安全性之后,所述方法还包括:
若确定所述待检测电子邮件存在被攻击的危险之后,生成攻击事件说明,以便用户知晓所述攻击事件说明中的内容;其中,所述攻击事件说明中包括:所述待检测电子邮件所匹配的异常特征组合的内容,以及风险等级信息。
6.一种安全检测装置,其特征在于,包括:
获取单元,用于获取待检测电子邮件;
提取单元,用于在所述获取单元获取所述待检测电子邮件之后,提取所述待检测电子邮件中的目标内容信息;其中,所述目标内容信息至少包括:电子邮件中发件人名称信息、邮件中继路由信息、邮件传送所耗时长、邮件发送端设备信息、邮件正文中的主要内容中的一项或多项;
确定单元,用于在所述提取单元提取所述待检测电子邮件中的目标内容信息之后,根据所述待检测电子邮件中的目标内容信息,确定所述待检测电子邮件的安全性。
7.根据权利要求6所述安全检测装置,其特征在于,所述确定单元,具体包括:查询子单元,确定子单元;其中,
所述查询子单元,用于在特征库中查询与所述待检测电子邮件中的目标内容信息相匹配的异常特征组合;其中,所述特征库中存储有n种异常特征组合,所述n种异常特征组合分别包括对电子邮件的目标内容信息中发件人名称信息、邮件中继路由信息、邮件传输所耗时长、邮件发送端设备信息、邮件正文中的主要内容等信息中的一项或多项的分析结果;
所述确定子单元,用于若所述查询子单元在所述特征库中能够查询到与所述待检测电子邮件中的目标内容信息相匹配的异常特征组合,则确定所述待检测电子邮件存在被攻击的危险;若所述查询子单元在所述特征库中没有查询到与所述待检测电子邮件中的目标内容信息相匹配的异常特征组合,则确定所述待检测电子邮件为安全邮件。
8.根据权利要求7所述安全检测装置,其特征在于,
所述查询子单元,具体用于根据目标内容信息中各项内容信息的出现次数以及目标内容信息中各项内容信息的扫描速度,确定所述待检测电子邮件中的目标内容信息中各项内容信息的优先级;
所述查询子单元,还具体用于按照所述待检测电子邮件中的目标内容信息中各项内容信息的优先级的高低顺序,依次在所述特征库中查询与所述待检测电子邮件中的目标内容信息相互匹配的异常特征组合。
9.根据权利要求6-8所述安全检测装置,其特征在于,所述安全检测装置还包括:更新单元;
所述更新单元,用于在所述确定单元根据所述待检测电子邮件中的目标内容信息,确定所述待检测电子邮件的安全性之后,将所述待检测电子邮件置入沙盒中运行,根据运行结果更新所述特征库中的异常特征组合。
10.根据权利要求6-8所述安全检测装置,其特征在于,所述安全检测装置还包括:说明生成单元;
所述说明生成单元,用于在所述确定单元确定所述待检测电子邮件存在被攻击的危险之后,生成攻击事件说明,以便用户知晓所述攻击事件说明中的内容;其中,所述攻击事件说明中包括:所述待检测电子邮件所匹配的异常特征组合的内容,以及风险等级信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811526201.XA CN109450929B (zh) | 2018-12-13 | 2018-12-13 | 一种安全检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811526201.XA CN109450929B (zh) | 2018-12-13 | 2018-12-13 | 一种安全检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109450929A true CN109450929A (zh) | 2019-03-08 |
| CN109450929B CN109450929B (zh) | 2021-05-14 |
Family
ID=65558275
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811526201.XA Active CN109450929B (zh) | 2018-12-13 | 2018-12-13 | 一种安全检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109450929B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110913397A (zh) * | 2019-12-17 | 2020-03-24 | 腾讯云计算(北京)有限责任公司 | 短信校验方法、装置、存储介质和计算机设备 |
| CN111859374A (zh) * | 2020-07-20 | 2020-10-30 | 恒安嘉新(北京)科技股份公司 | 社会工程学攻击事件的检测方法、装置以及*** |
| WO2021068835A1 (zh) * | 2019-10-10 | 2021-04-15 | 平安科技(深圳)有限公司 | 一种数据外发方法、装置以及相关设备 |
| CN115037542A (zh) * | 2022-06-09 | 2022-09-09 | 北京天融信网络安全技术有限公司 | 一种异常邮件检测方法及装置 |
| CN116663001A (zh) * | 2023-06-02 | 2023-08-29 | 北京永信至诚科技股份有限公司 | 一种针对邮件的安全分析方法、装置、电子设备及介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104270385A (zh) * | 2014-10-22 | 2015-01-07 | 山东创惠电子科技股份有限公司 | 4g移动视频指挥*** |
| CN104796323A (zh) * | 2015-03-26 | 2015-07-22 | 小米科技有限责任公司 | 电子邮件发送方法、邮件服务器及邮件客户端 |
| CN104967558A (zh) * | 2015-06-10 | 2015-10-07 | 东软集团股份有限公司 | 一种垃圾邮件的检测方法及装置 |
| US20170063878A1 (en) * | 2015-08-31 | 2017-03-02 | International Business Machines Corporation | Security aware email server |
| US20170085584A1 (en) * | 2014-11-17 | 2017-03-23 | Vade Retro Technology Inc. | Detecting and thwarting spear phishing attacks in electronic messages |
| CN108200105A (zh) * | 2018-03-30 | 2018-06-22 | 杭州迪普科技股份有限公司 | 一种检测钓鱼邮件的方法及装置 |
| CN108881263A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 一种网络攻击结果检测方法及*** |
-
2018
- 2018-12-13 CN CN201811526201.XA patent/CN109450929B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104270385A (zh) * | 2014-10-22 | 2015-01-07 | 山东创惠电子科技股份有限公司 | 4g移动视频指挥*** |
| US20170085584A1 (en) * | 2014-11-17 | 2017-03-23 | Vade Retro Technology Inc. | Detecting and thwarting spear phishing attacks in electronic messages |
| CN104796323A (zh) * | 2015-03-26 | 2015-07-22 | 小米科技有限责任公司 | 电子邮件发送方法、邮件服务器及邮件客户端 |
| CN104967558A (zh) * | 2015-06-10 | 2015-10-07 | 东软集团股份有限公司 | 一种垃圾邮件的检测方法及装置 |
| US20170063878A1 (en) * | 2015-08-31 | 2017-03-02 | International Business Machines Corporation | Security aware email server |
| CN108200105A (zh) * | 2018-03-30 | 2018-06-22 | 杭州迪普科技股份有限公司 | 一种检测钓鱼邮件的方法及装置 |
| CN108881263A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 一种网络攻击结果检测方法及*** |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021068835A1 (zh) * | 2019-10-10 | 2021-04-15 | 平安科技(深圳)有限公司 | 一种数据外发方法、装置以及相关设备 |
| CN110913397A (zh) * | 2019-12-17 | 2020-03-24 | 腾讯云计算(北京)有限责任公司 | 短信校验方法、装置、存储介质和计算机设备 |
| CN110913397B (zh) * | 2019-12-17 | 2023-05-30 | 腾讯云计算(北京)有限责任公司 | 短信校验方法、装置、存储介质和计算机设备 |
| CN111859374A (zh) * | 2020-07-20 | 2020-10-30 | 恒安嘉新(北京)科技股份公司 | 社会工程学攻击事件的检测方法、装置以及*** |
| CN111859374B (zh) * | 2020-07-20 | 2024-03-19 | 恒安嘉新(北京)科技股份公司 | 社会工程学攻击事件的检测方法、装置以及*** |
| CN115037542A (zh) * | 2022-06-09 | 2022-09-09 | 北京天融信网络安全技术有限公司 | 一种异常邮件检测方法及装置 |
| CN116663001A (zh) * | 2023-06-02 | 2023-08-29 | 北京永信至诚科技股份有限公司 | 一种针对邮件的安全分析方法、装置、电子设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109450929B (zh) | 2021-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3506141B1 (en) | System for query injection detection using abstract syntax trees | |
| CN109450929A (zh) | 一种安全检测方法及装置 | |
| US10467411B1 (en) | System and method for generating a malware identifier | |
| US8893278B1 (en) | Detecting malware communication on an infected computing device | |
| US10601865B1 (en) | Detection of credential spearphishing attacks using email analysis | |
| US9455981B2 (en) | Method and system for protection against information stealing software | |
| US8805995B1 (en) | Capturing data relating to a threat | |
| US10140451B2 (en) | Detection of malicious scripting language code in a network environment | |
| US8959634B2 (en) | Method and system for protection against information stealing software | |
| US9015842B2 (en) | Method and system for protection against information stealing software | |
| US20130247192A1 (en) | System and method for botnet detection by comprehensive email behavioral analysis | |
| CN106384048B (zh) | 一种威胁信息处理方法与装置 | |
| US10666676B1 (en) | Detection of targeted email attacks | |
| WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
| CN108418777A (zh) | 一种钓鱼邮件检测方法、装置及*** | |
| JP6674036B2 (ja) | 分類装置、分類方法及び分類プログラム | |
| RU2750627C2 (ru) | Способ поиска образцов вредоносных сообщений | |
| KR102648653B1 (ko) | 메일 보안 기반의 제로데이 url 공격 방어 서비스 제공 장치 및 그 동작 방법 | |
| CN107070845B (zh) | 用于检测网络钓鱼脚本的***和方法 | |
| EP2919422B1 (en) | Method and device for detecting spoofed messages | |
| Alshamrani | Design and analysis of machine learning based technique for malware identification and classification of portable document format files | |
| Lu et al. | APT traffic detection based on time transform | |
| KR102546068B1 (ko) | 위협 요소의 정량 분석 기반 이메일 보안 진단 장치 및 그 동작 방법 | |
| KR101434179B1 (ko) | 이메일 기반 문서형 악성코드 고속탐지 시스템 및 방법 | |
| CN108256327A (zh) | 一种文件检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |