CN110995576A - 一种邮件检测方法、装置、设备及存储介质 - Google Patents
一种邮件检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN110995576A CN110995576A CN201911300387.1A CN201911300387A CN110995576A CN 110995576 A CN110995576 A CN 110995576A CN 201911300387 A CN201911300387 A CN 201911300387A CN 110995576 A CN110995576 A CN 110995576A
- Authority
- CN
- China
- Prior art keywords
- attachment
- flow
- risk level
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种邮件检测方法、装置、设备及存储介质。该方法的步骤包括:获取邮件流量;提取邮件流量中的邮件附件以及流量行为特征;依照预设标准对邮件附件以及流量行为特征进行综合检测生成检测结果。本方法基于邮件流量中获取到的邮件附件本身以及进行邮件投递时邮件流量所体现的行为特征两方面综合实现对于鱼叉邮件的检测,相对确保了邮件接收设备的运行安全。此外,本申请还提供一种邮件检测装置、设备及存储介质,有益效果同上所述。
Description
技术领域
本申请涉及网络安全领域,特别是涉及一种邮件检测方法、装置、设备及存储介质。
背景技术
鱼叉邮件(spam email)是以木马程序作为附件的电子邮件,其附件往往具有一个能够诱发接收者打开的名称,而当接收者打开附件时木马程序执行,从而导致接收者的设备感染病毒木马。
由此可见,提供一种邮件检测方法,以实现对于鱼叉邮件的检测,确保邮件接收设备的运行安全,是本领域技术人员需要解决的问题。
发明内容
本申请的目的是提供一种邮件检测方法、装置、设备及存储介质,以实现对于鱼叉邮件的检测,确保邮件接收设备的运行安全。
为解决上述技术问题,本申请提供一种邮件检测方法,包括:
获取邮件流量;
提取邮件流量中的邮件附件以及流量行为特征;
依照预设标准对邮件附件以及流量行为特征进行综合检测生成检测结果。
优选地,获取邮件流量,包括:
获取网络流量,并在网络流量中筛选得到邮件流量。
优选地,依照预设标准对邮件附件以及流量行为特征进行综合检测生成检测结果,包括:
依照附件检测标准判定邮件附件的附件风险等级,并依照行为检测标准判定流量行为特征的行为风险等级;
根据附件风险等级以及行为风险等级生成综合风险等级;
判断综合风险等级是否满足异常等级标准;
如果综合风险等级满足异常等级标准,则生成邮件流量为异常状态时对应的检测结果;
如果综合风险等级不满足异常等级标准,则生成邮件流量为正常状态时对应的检测结果。
优选地,依照附件检测标准判定邮件附件的附件风险等级,包括:
依照类型对应关系判定与邮件附件的实际加壳类型对应的附件风险等级,类型对应关系记录有与邮件附件的各加壳类型对应的风险等级。
优选地,依照附件检测标准判定邮件附件的附件风险等级,包括:
依照编码对应关系判定与邮件附件的实际编码信息对应的附件风险等级,编码对应关系记录有与邮件附件的各编码信息对应的风险等级。
优选地,依照附件检测标准判定邮件附件的附件风险等级,包括:
依照组合对应关系判定与邮件附件的实际加壳类型及实际编码信息之间的实际组合关系对应的附件风险等级,组合对应关系记录有与邮件附件的加壳类型以及编码信息之间的各组合关系对应的风险等级。
优选地,依照行为检测标准判定流量行为特征的行为风险等级,包括:
依照流量行为特征中符合异常特征标准的异常行为特征的数量判定流量行为特征的行为风险等级。
优选地,异常特征标准包括:
源IP地址的归属地为境外区域,和/或源端口号呈线性增长趋势,和/或在预设周期内的邮件文本内容相同,和/或邮件收件人为预设数量的公共邮箱。
优选地,在提取邮件流量中的邮件附件以及流量行为特征之前,方法还包括:
判断邮件流量中的邮件附件是否包含PE文件;
如果邮件附件包含PE文件,则执行提取邮件流量中的邮件附件以及流量行为特征的步骤;
如果邮件附件不包含PE文件,则停止邮件检测。
优选地,判断邮件流量中的邮件附件是否包含PE文件,包括:
判断邮件流量中的邮件附件是否为PE文件;
如果邮件附件为PE文件,则判定邮件附件包含PE文件;
如果邮件附件不为PE文件,则判断邮件附件是否为压缩包文件;
如果邮件附件为压缩包文件,则对压缩包文件执行解压缩操作,并判断经过解压缩操作的邮件附件是否为PE文件;
如果经过解压缩操作的邮件附件为PE文件,则判定邮件附件包含PE文件;
如果经过解压缩操作的邮件附件不为PE文件,则判定邮件附件不包含PE文件。
此外,本申请还提供一种邮件检测装置,包括:
流量获取模块,用于获取邮件流量;
流量提取模块,用于提取邮件流量中的邮件附件以及流量行为特征;
综合检测模块,用于依照预设标准对邮件附件以及流量行为特征进行综合检测生成检测结果。
此外,本申请还提供一种邮件检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的邮件检测方法的步骤。
此外,本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的邮件检测方法的步骤。
本申请所提供的邮件检测方法,首先获取邮件流量,进而提取邮件流量中的邮件附件以及流量行为特征,最终依照预设标准对邮件附件以及流量行为特征进行综合检测以生成最终的检测结果。本方法基于邮件流量中获取到的邮件附件本身以及进行邮件投递时邮件流量所体现的行为特征两方面综合实现对于鱼叉邮件的检测,相对确保了邮件接收设备的运行安全。此外,本申请还提供一种邮件检测装置、设备及存储介质,有益效果同上所述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种邮件检测方法的流程图;
图2为本申请实施例公开的一种具体的邮件检测方法的流程图;
图3为本申请实施例公开的一种具体的邮件检测方法的流程图;
图4为本申请实施例公开的一种具体的邮件检测方法的流程图;
图5为本申请实施例公开的一种具体的邮件检测方法的流程图;
图6为本申请实施例公开的一种具体的邮件检测方法的流程图;
图7为本申请实施例公开的一种具体的邮件检测方法的流程图;
图8为本申请实施例公开的一种邮件检测装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
鱼叉邮件(spam email)是以木马程序作为附件的电子邮件,其附件往往具有一个能够诱发接收者打开的名称,而当接收者打开附件时木马程序执行,从而导致接收者的设备感染病毒木马。
为此,本申请的核心是提供一种邮件检测方法,以实现对于鱼叉邮件的检测,确保邮件接收设备的运行安全。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
请参见图1所示,本申请实施例公开了一种邮件检测方法,包括:
步骤S10:获取邮件流量。
需要说明的是,本步骤中的邮件流量指的是能够在网络中传输的电子邮件数据,即电子邮件的数据本体。邮件流量可以具体是在数据库中读取预存的邮件流量,或在实时传入的网络流量中根据协议的关键字对包含有邮件协议标识的流量进行提取得到。
步骤S11:提取邮件流量中的邮件附件以及流量行为特征。
本步骤中提取邮件流量中的邮件附件以及流量行为特征的方式,是对邮件附件所在的数据包进行截取,并通过解析数据包中的数据内容得到邮件附件;同理,提取邮件流量中的流量行为特征的方式,是对能够体现流量行为特征的静态参数所在的数据包进行截取,并获取解析该数据包中的数据内容得到邮件流量中包含的静态参数,并根据静态参数得到对应的流量行为特征,以此得到流量行为特征。
可以理解的是,邮件流量即为用户能够接收到的邮件本身,由于鱼叉邮件中往往携带有邮件附件,并且邮件附件往往能够运行且对收件人的设备造成安全性威胁,因此本步骤的重点是在获取到邮件流量后,进一步提取邮件流量中的邮件附件,并且根据邮件流量获取流量行为特征。需要说明的是,流量行为特征指的是与邮件的发送行为相关的特征,例如邮件发起的源IP地址、邮件的收件邮箱地址、邮件的文本内容等。本步骤的目的是通过对邮件中的邮件附件以及流量行为特征分别进行提取,以此在后续步骤中通过上述两方面综合对邮件流量本身进行检测。
步骤S12:依照预设标准对邮件附件以及流量行为特征进行综合检测生成检测结果。
在获取到邮件附件以及流量行为特征后,本步骤进一步依照预设标准对邮件附件以及流量行为特征进行综合检测,最终生成检测结果。在本实施例中的重点在于通过邮件附件以及流量行为特征综合对邮件进行鱼叉邮件的判定,也就是说,在进行综合检测时所依照的预设标准应分别包含对于邮件附件及流量行为特征各自的分析规则,以及将上述两方面分析结果综合生成检测结果的规则。
本申请所提供的邮件检测方法,首先获取邮件流量,进而提取邮件流量中的邮件附件以及流量行为特征,最终依照预设标准对邮件附件以及流量行为特征进行综合检测以生成最终的检测结果。本方法基于邮件流量中获取到的邮件附件本身以及进行邮件投递时邮件流量所体现的行为特征两方面综合实现对于鱼叉邮件的检测,相对确保了邮件接收设备的运行安全。
在上述实施例的基础上,作为一种优选的实施方式,获取邮件流量,包括:
获取网络流量,并在网络流量中筛选得到邮件流量。
需要说明的是,本实施方式中获取的网络流量是由外部设备传输至本地设备的全部通信流量,因此在网络流量中不仅包含有与邮件传输相关的邮件流量,往往也会包含有其它各类业务的相关流量,本实施例在获取到传入的网络流量后,进一步在网络流量中选取与电子邮件相关的邮件流量,具体可在网络流量中判断采用了邮件传输协议目标网络流量,并对目标网络流量进行提取,即为邮件流量,以此实现在网络流量中筛选得到邮件流量的目的,其中,邮件传输协议可以进一步包括POP3、SMTP以及IMAP协议等。
请参见图2所示,本申请实施例公开了一种邮件检测方法,包括:
步骤S20:获取邮件流量。
步骤S21:提取邮件流量中的邮件附件以及流量行为特征。
步骤S22:依照附件检测标准判定邮件附件的附件风险等级,并依照行为检测标准判定流量行为特征的行为风险等级。
需要说明的是,本步骤的重点在于根据附件检测标准以及行为检测标准分别对邮件附件以及流量行为特征各自对应的风险等级进行判定,进而生成邮件附件的附件风险等级以及流量行为特征的行为风险等级。
步骤S23:根据附件风险等级以及行为风险等级生成综合风险等级。
在获取到邮件流量中邮件附件以及流量行为特征各自对应的风险等级后,进一步根据附件风险等级以及行为风险等级生成综合风险等级,综合风险等级即为基于邮件附件以及流量行为特征之间的权重关系对附件风险等级以及行为风险等级之间进行整合后的风险等级结果。
步骤S24:判断综合风险等级是否满足异常等级标准,如果是,则执行步骤S25,否则,执行步骤S26。
步骤S25:生成邮件流量为异常状态时对应的检测结果。
步骤S26:生成邮件流量为正常状态时对应的检测结果。
在获取到综合风险等级后,本实施例进一步判断综合风险等级是否满足异常等级标准,如果满足异常等级标准,则将邮件流量设置为异常邮件流量,生成邮件流量为异常状态时对应的检测结果,也就是将邮件流量对应的邮件判定为鱼叉邮件;如果不满足异常等级标准,则认为邮件流量对应的邮件不是鱼叉邮件,进而生成邮件流量为正常状态时对应的检测结果。
本实施例通过附件检测标准判定邮件附件的附件风险等级,并通过行为检测标准判定流量行为特征的行为风险等级,相对确保了附件风险等级以及行为风险等级的整体准确性,进而基于附件风险等级以及行为风险等级综合生成综合风险等级,并根据综合风险等级判定邮件流量是否为鱼叉邮件,进一步确保了最终检测结果的准确性。
请参见图3所示,本申请实施例公开了一种邮件检测方法,包括:
步骤S30:获取邮件流量。
步骤S31:提取邮件流量中的邮件附件以及流量行为特征。
步骤S32:依照类型对应关系判定与邮件附件的实际加壳类型对应的附件风险等级,并依照行为检测标准判定流量行为特征的行为风险等级。
类型对应关系记录有与邮件附件的各加壳类型对应的风险等级。
需要说明的是,本实施例的重点在于依照类型对应关系判定与邮件附件的实际加壳类型对应的附件风险等级,其中,类型对应关系中记录有与邮件附件的各加壳类型对应的风险等级,具体是在类型对应关系中匹配与实际加壳类型一致的目标加壳类型,进而得到与目标加壳类型对应的风险等级,即行为风险等级。
步骤S33:根据附件风险等级以及行为风险等级生成综合风险等级。
步骤S34:判断综合风险等级是否满足异常等级标准,如果是,则执行步骤S35,否则,执行步骤S36。
步骤S35:生成邮件流量为异常状态时对应的检测结果。
步骤S36:生成邮件流量为正常状态时对应的检测结果。
本实施例中的加壳类型指的是邮件附件的源代码经过的加密类型,由于加壳类型能够体现邮件附件对于其自身源代码的保密程度,而木马程序往往会采用保密程度较高加壳方式对源代码进行加密,因此加壳类型能够进一步体现邮件附件的异常可疑程度,进而本实施例根据类型对应关系判定与邮件附件的实际加壳类型对应的附件风险等级,能够相对确保对于附件风险等级的判定准确性。
请参见图4所示,本申请实施例公开了一种邮件检测方法,包括:
步骤S40:获取邮件流量。
步骤S41:提取邮件流量中的邮件附件以及流量行为特征。
步骤S42:依照编码对应关系判定与邮件附件的实际编码信息对应的附件风险等级,并依照行为检测标准判定流量行为特征的行为风险等级。
编码对应关系记录有与邮件附件的各编码信息对应的风险等级。
需要说明的是,依照编码对应关系判定与邮件附件的实际编码信息对应的附件风险等级,具体是在编码对应关系中匹配与实际编码信息一致的目标编码信息,进而得到该目标编码信息对应的风险等级,即附件风险等级。
步骤S43:根据附件风险等级以及行为风险等级生成综合风险等级。
步骤S44:判断综合风险等级是否满足异常等级标准,如果是,则执行步骤S45,否则,执行步骤S46。
步骤S45:生成邮件流量为异常状态时对应的检测结果。
步骤S46:生成邮件流量为正常状态时对应的检测结果。
需要说明的是,本实施例的重点在于依照编码对应关系判定与邮件附件的实际编码信息对应的附件风险等级,其中,编码对应关系中记录有与邮件附件的各编码信息对应的风险等级。本实施例中的编码信息指的是邮件附件的源代码的编码语言的类型,由于木马程序普遍以特定的编码语言进行编写,因此基于邮件附件的编码信息能够进一步体现邮件附件的异常可疑程度,进而本实施例根据编码对应关系判定与邮件附件的实际编码信息对应的附件风险等级,能够相对确保对于附件风险等级的判定准确性。
请参见图5所示,本申请实施例公开了一种邮件检测方法,包括:
步骤S50:获取邮件流量。
步骤S51:提取邮件流量中的邮件附件以及流量行为特征。
步骤S52:依照组合对应关系判定与邮件附件的实际加壳类型及实际编码信息之间的实际组合关系对应的附件风险等级,并依照行为检测标准判定流量行为特征的行为风险等级。
组合对应关系记录有与邮件附件的加壳类型以及编码信息之间的各组合关系对应的风险等级。
步骤S53:根据附件风险等级以及行为风险等级生成综合风险等级。
步骤S54:判断综合风险等级是否满足异常等级标准,如果是,则执行步骤S55,否则,执行步骤S56。
步骤S55:生成邮件流量为异常状态时对应的检测结果。
步骤S56:生成邮件流量为正常状态时对应的检测结果。
需要说明的是,本实施例的重点在于依照组合对应关系判定与邮件附件的实际加壳类型及实际编码信息之间的实际组合关系对应的附件风险等级,组合对应关系记录有与邮件附件的加壳类型以及编码信息之间的各组合关系对应的风险等级,也就是说,本实施例是根据邮件附件的加壳类型以及编码信息综合判定邮件附件的附件风险等级,进一步确保了对于附件风险等级的判定准确性。
请参见图6所示,本申请实施例公开了一种邮件检测方法,包括:
步骤S60:获取邮件流量。
步骤S61:提取邮件流量中的邮件附件以及流量行为特征。
步骤S62:依照附件检测标准判定邮件附件的附件风险等级,并依照流量行为特征中符合异常特征标准的异常行为特征的数量判定流量行为特征的行为风险等级。
步骤S63:根据附件风险等级以及行为风险等级生成综合风险等级。
步骤S64:判断综合风险等级是否满足异常等级标准,如果是,则执行步骤S65,否则,执行步骤S66。
步骤S65:生成邮件流量为异常状态时对应的检测结果。
步骤S66:生成邮件流量为正常状态时对应的检测结果。
需要说明的是,本实施例在对流量行为特征进行风险等级的判定时,是以邮件流量中流量行为特征符合异常特征标准的异常行为特征的数量为依据进行的,也就是说,本实施例预先设置有一系列异常特征标准,以此进一步判定邮件流量的行为特征与异常特征标准一致的特征数量,如果达到一定的数量阈值,则认为流量行为特征的风险等级较高,以此相对确保对流量行为特征对应风险等级的判定准确性。
在上述实施例的基础上,作为一种优选的实施方式,异常特征标准包括:
源IP地址的归属地为境外区域,和/或源端口号呈线性增长趋势,和/或在预设周期内的邮件文本内容相同,和/或邮件收件人为预设数量的公共邮箱。
由于考虑到当前较多的鱼叉邮件普遍会选择境外的IP地址;当前通常以脚本的方式发送鱼叉邮件,因此会导致端口数值会呈现逐渐增大的趋势,而且会呈现无规律的增大,后一次的端口号大于前一次发送邮件的端口号;当前鱼叉邮件的邮件内容往往会保持高度的一致,统计一定时间内的邮件会发现邮件的正文内容基本上都是一样的;当前鱼叉邮件的收件人往往不单一,流量当中会发现往往收件人的邮箱较多,普遍会有5个以上的不同收件人地址,且会包含一些公共的邮箱地址。因此基于本实施方式的异常特征标准能够进一步确保邮件检测的准确性。
作为一种优选的实施例,在提取邮件流量中的邮件附件以及流量行为特征之前,方法还包括:
判断邮件流量中的邮件附件是否包含PE文件;
如果邮件附件包含PE文件,则执行提取邮件流量中的邮件附件以及流量行为特征的步骤;
如果邮件附件不包含PE文件,则停止邮件检测。
需要说明的是,本实施例中的PE文件全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作***上的程序文件,由于PE文件具有可移植以及可执行的特征,因此木马程序普遍为PE文件。
在本实施例中,在提取邮件流量中的邮件附件以及流量行为特征之间,预先判断邮件流量中的邮件附件是否包含有PE文件,需要强调的是,本实施例中所指的包含PE文件,进一步分为“直接包含”以及“间接包含”,所谓“直接包含”指的是在邮件附件本身即为PE文件,而“间接包含”指的是在邮件附件的数据包内部携带有PE文件。例如,在实际场景下可能存在邮件附件为对PE文件进行压缩处理后产生的压缩包文件,进而压缩包文件中携带有PE文件,本实施例在此情况下认为邮件附件中包含PE文件。
对于判断邮件流量中的邮件附件是否包含PE文件的过程可以进一步包含:判断邮件附件是否为压缩包文件,如果是,则对邮件附件进行解压缩操作,并判断解压缩后的邮件附件是否为PE文件,以此确定邮件附件是否包含PE文件,如果解压缩后的邮件附件为PE文件,则执行提取邮件流量中的邮件附件以及流量行为特征的步骤,否则,停止邮件检测。另外,若邮件附件不为压缩包文件,则进一步判断邮件附件是否为PE文件,如果是,则执行提取邮件流量中的邮件附件以及流量行为特征的步骤,否则,停止邮件检测。
本实施例通过预先对邮件附件进行可用性的筛选,相对确保了邮件检测的准确性。
考虑到邮件附件本身为携带有PE文件的压缩包的概率相对较小,因此在判断邮件流量中的邮件附件是否包含PE文件的阶段中,可以进一步优先判定邮件流量中的邮件附件是否为PE文件,当邮件流量中的邮件附件不为PE文件时,再进一步判定邮件附件是否为压缩包文件,以及压缩包文件中是否携带PE文件,具体过程请参考下面的实施例说明。
请参见图7所示,本申请实施例公开了一种邮件检测方法,包括:
步骤S70:获取邮件流量。
步骤S71:判断邮件流量中的邮件附件是否为PE文件,如果是,则执行步骤S72至步骤S73,否则,执行步骤S74。
步骤S74:判断邮件附件是否为压缩包文件,如果是,则执行步骤S75,否则,执行步骤S76。
需要说明的是,在判定邮件流量中的邮件附件不为PE文件时,通常可以停止邮件检测的进行,但是考虑到邮件附件可能是在PE文件的基础上压缩产生的压缩包,因此本实施例在当判定邮件流量中的邮件附件不为PE文件时,进一步判定邮件附件是否为压缩包文件,以此进一步确保对于邮件附件的筛选准确性。
步骤S75:对压缩包文件执行解压缩操作,并判断经过解压缩操作的邮件附件是否为PE文件,如果是,则执行步骤S72至步骤S73,否则,执行步骤S76。
步骤S72:提取邮件流量中的邮件附件以及流量行为特征。
步骤S73:依照预设标准对邮件附件以及流量行为特征进行综合检测生成检测结果。
步骤S76:停止邮件检测。
本实施例中的PE文件全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作***上的程序文件,由于PE文件具有可移植以及可执行的特征,因此木马程序普遍为PE文件,本实施例基于这一点,仅在邮件流量的邮件附件为PE文件时,执行对邮件流量的检测,因此在提取邮件流量中的邮件附件以及流量行为特征之前,先将判定邮件附件是否为PE文件作为基础,只有当邮件附件为PE文件或邮件附件解压缩后的文件为PE文件时,才进一步执行邮件检测,否则停止邮件检测。本实施例相对减少了邮件检测过程的整体资源开销。
请参见图8所示,本申请实施例公开了一种邮件检测装置,包括:
流量获取模块10,用于获取邮件流量;
流量提取模块11,用于提取邮件流量中的邮件附件以及流量行为特征;
综合检测模块12,用于依照预设标准对邮件附件以及流量行为特征进行综合检测生成检测结果。
本申请所提供的邮件检测装置,首先获取邮件流量,进而提取邮件流量中的邮件附件以及流量行为特征,最终依照预设标准对邮件附件以及流量行为特征进行综合检测以生成最终的检测结果。本装置基于邮件流量中获取到的邮件附件本身以及进行邮件投递时邮件流量所体现的行为特征两方面综合实现对于鱼叉邮件的检测,相对确保了邮件接收设备的运行安全。
在前述实施例的基础上,流量获取模块10,包括:
筛选获取模块,用于获取网络流量,并在网络流量中筛选得到邮件流量。
在前述实施例的基础上,本申请实施例对邮件检测装置进行进一步的说明和优化。具体的:
在一种具体实施方式中,综合检测模块12,包括:
等级判定模块,用于依照附件检测标准判定邮件附件的附件风险等级,并依照行为检测标准判定流量行为特征的行为风险等级;
综合等级模块,用于根据附件风险等级以及行为风险等级生成综合风险等级;
异常判断模块,用于判断综合风险等级是否满足异常等级标准;
正常结果模块,用于如果综合风险等级满足异常等级标准,则生成邮件流量为异常状态时对应的检测结果;
异常结果模块,用于如果综合风险等级不满足异常等级标准,则生成邮件流量为正常状态时对应的检测结果。
在一种具体实施方式中,等级判定模块,包括:
加壳判定模块,用于依照类型对应关系判定与邮件附件的实际加壳类型对应的附件风险等级,类型对应关系记录有与邮件附件的各加壳类型对应的风险等级。
在一种具体实施方式中,等级判定模块,包括:
编码判定模块,用于依照编码对应关系判定与邮件附件的实际编码信息对应的附件风险等级,编码对应关系记录有与邮件附件的各编码信息对应的风险等级。
在一种具体实施方式中,等级判定模块,包括:
组合判定模块,用于依照组合对应关系判定与邮件附件的实际加壳类型及实际编码信息之间的实际组合关系对应的附件风险等级,组合对应关系记录有与邮件附件的加壳类型以及编码信息之间的各组合关系对应的风险等级。
在一种具体实施方式中,等级判定模块,包括:
数量判断模块,用于依照流量行为特征中符合异常特征标准的异常行为特征的数量判定流量行为特征的行为风险等级。
在一种具体实施方式中,等级判定模块的异常特征标准包括:
源IP地址的归属地为境外区域,和/或源端口号呈线性增长趋势,和/或在预设周期内的邮件文本内容相同,和/或邮件收件人为预设数量的公共邮箱。
在一种具体实施方式中,装置还包括:
文件类型判断模块,用于判断邮件流量中的邮件附件是否包含PE文件,如果是,则调用流量提取模块11,否则,调用停止模块;
停止模块,用于停止邮件检测。
在一种具体实施方式中,文件类型判断模块,包括:
PE文件判定模块,用于判断邮件流量中的邮件附件是否为PE文件,如果是,则判定邮件附件包含PE文件,否则,调用压缩包判定模块;
压缩包判定模块,用于判断邮件附件是否为压缩包文件,如果是,则调用压缩判定模块,否则,判定邮件附件不包含PE文件;
解压判定模块,用于对压缩包文件执行解压缩操作,并判断经过解压缩操作的邮件附件是否为PE文件,如果是,则判定邮件附件包含PE文件,否则,判定邮件附件不包含PE文件。
此外,本申请实施例还公开了一种邮件检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的邮件检测方法的步骤。
本申请所提供的邮件检测设备,首先获取邮件流量,进而提取邮件流量中的邮件附件以及流量行为特征,最终依照预设标准对邮件附件以及流量行为特征进行综合检测以生成最终的检测结果。本设备基于邮件流量中获取到的邮件附件本身以及进行邮件投递时邮件流量所体现的行为特征两方面综合实现对于鱼叉邮件的检测,相对确保了邮件接收设备的运行安全。
此外,本申请实施例还公开了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的邮件检测方法的步骤。
本申请所提供的计算机可读存储介质,首先获取邮件流量,进而提取邮件流量中的邮件附件以及流量行为特征,最终依照预设标准对邮件附件以及流量行为特征进行综合检测以生成最终的检测结果。本计算机可读存储介质基于邮件流量中获取到的邮件附件本身以及进行邮件投递时邮件流量所体现的行为特征两方面综合实现对于鱼叉邮件的检测,相对确保了邮件接收设备的运行安全。
以上对本申请所提供的一种邮件检测方法、装置、设备及存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (13)
1.一种邮件检测方法,其特征在于,包括:
获取邮件流量;
提取所述邮件流量中的邮件附件以及流量行为特征;
依照预设标准对所述邮件附件以及所述流量行为特征进行综合检测生成检测结果。
2.根据权利要求1所述的邮件检测方法,其特征在于,所述获取邮件流量,包括:
获取网络流量,并在所述网络流量中筛选得到所述邮件流量。
3.根据权利要求1所述的邮件检测方法,其特征在于,所述依照预设标准对所述邮件附件以及所述流量行为特征进行综合检测生成检测结果,包括:
依照附件检测标准判定所述邮件附件的附件风险等级,并依照行为检测标准判定所述流量行为特征的行为风险等级;
根据所述附件风险等级以及所述行为风险等级生成综合风险等级;
判断所述综合风险等级是否满足异常等级标准;
如果所述综合风险等级满足所述异常等级标准,则生成所述邮件流量为异常状态时对应的所述检测结果;
如果所述综合风险等级不满足所述异常等级标准,则生成所述邮件流量为正常状态时对应的所述检测结果。
4.根据权利要求3所述的邮件检测方法,其特征在于,所述依照附件检测标准判定所述邮件附件的附件风险等级,包括:
依照类型对应关系判定与所述邮件附件的实际加壳类型对应的所述附件风险等级,所述类型对应关系记录有与所述邮件附件的各加壳类型对应的风险等级。
5.根据权利要求3所述的邮件检测方法,其特征在于,所述依照附件检测标准判定所述邮件附件的附件风险等级,包括:
依照编码对应关系判定与所述邮件附件的实际编码信息对应的所述附件风险等级,所述编码对应关系记录有与所述邮件附件的各编码信息对应的风险等级。
6.根据权利要求3所述的邮件检测方法,其特征在于,所述依照附件检测标准判定所述邮件附件的附件风险等级,包括:
依照组合对应关系判定与所述邮件附件的实际加壳类型及实际编码信息之间的实际组合关系对应的所述附件风险等级,所述组合对应关系记录有与所述邮件附件的加壳类型以及编码信息之间的各组合关系对应的风险等级。
7.根据权利要求3至6任意一项所述的邮件检测方法,其特征在于,所述依照行为检测标准判定所述流量行为特征的行为风险等级,包括:
依照所述流量行为特征中符合异常特征标准的异常行为特征的数量判定所述流量行为特征的所述行为风险等级。
8.根据权利要求7所述的邮件检测方法,其特征在于,所述异常特征标准包括:
源IP地址的归属地为境外区域,和/或源端口号呈线性增长趋势,和/或在预设周期内的邮件文本内容相同,和/或邮件收件人为预设数量的公共邮箱。
9.根据权利要求1所述的邮件检测方法,其特征在于,在所述提取所述邮件流量中的邮件附件以及流量行为特征之前,所述方法还包括:
判断所述邮件流量中的所述邮件附件是否包含PE文件;
如果所述邮件附件包含PE文件,则执行所述提取所述邮件流量中的邮件附件以及流量行为特征的步骤;
如果所述邮件附件不包含PE文件,则停止邮件检测。
10.根据权利要求9所述的邮件检测方法,其特征在于,所述判断所述邮件流量中的所述邮件附件是否包含PE文件,包括:
判断所述邮件流量中的所述邮件附件是否为PE文件;
如果所述邮件附件为PE文件,则判定所述邮件附件包含PE文件;
如果所述邮件附件不为PE文件,则判断所述邮件附件是否为压缩包文件;
如果所述邮件附件为压缩包文件,则对所述压缩包文件执行解压缩操作,并判断经过解压缩操作的所述邮件附件是否为PE文件;
如果经过所述解压缩操作的所述邮件附件为PE文件,则判定所述邮件附件包含PE文件;
如果经过所述解压缩操作的所述邮件附件不为PE文件,则判定所述邮件附件不包含PE文件。
11.一种邮件检测装置,其特征在于,包括:
流量获取模块,用于获取邮件流量;
流量提取模块,用于提取所述邮件流量中的邮件附件以及流量行为特征;
综合检测模块,用于依照预设标准对所述邮件附件以及所述流量行为特征进行综合检测生成检测结果。
12.一种邮件检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至10任一项所述的邮件检测方法的步骤。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至10任一项所述的邮件检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911300387.1A CN110995576B (zh) | 2019-12-16 | 2019-12-16 | 一种邮件检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911300387.1A CN110995576B (zh) | 2019-12-16 | 2019-12-16 | 一种邮件检测方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110995576A true CN110995576A (zh) | 2020-04-10 |
| CN110995576B CN110995576B (zh) | 2022-04-29 |
Family
ID=70094482
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911300387.1A Active CN110995576B (zh) | 2019-12-16 | 2019-12-16 | 一种邮件检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110995576B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113301023A (zh) * | 2021-04-30 | 2021-08-24 | 杭州安恒信息技术股份有限公司 | 鱼叉附件的检测方法、***、电子装置和存储介质 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100306330A1 (en) * | 2009-06-02 | 2010-12-02 | International Business Machines Corporation | Selection of email attachment storage location |
| CN103106573A (zh) * | 2013-02-20 | 2013-05-15 | 中国科学院信息工程研究所 | 一种基于关系图的海量电子邮件分析方法及*** |
| CN103546449A (zh) * | 2012-12-24 | 2014-01-29 | 哈尔滨安天科技股份有限公司 | 一种基于附件格式的邮件病毒检测方法和装置 |
| CN105072137A (zh) * | 2015-09-15 | 2015-11-18 | 蔡丝英 | 鱼叉式钓鱼邮件的检测方法及装置 |
| CN105580333A (zh) * | 2013-08-14 | 2016-05-11 | 丹尼尔·钱 | 评估可疑网络通信 |
| US20170097623A1 (en) * | 2015-10-05 | 2017-04-06 | Fisher-Rosemount Systems, Inc. | Method and apparatus for negating effects of continuous introduction of risk factors in determining the health of a process control system |
| CN106685803A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于钓鱼邮件溯源apt攻击事件的方法及*** |
| US20180191765A1 (en) * | 2017-01-03 | 2018-07-05 | Korea Internet & Security Agency | Method and apparatus for calculating risk of cyber attack |
| CN108418777A (zh) * | 2017-02-09 | 2018-08-17 | ***通信有限公司研究院 | 一种钓鱼邮件检测方法、装置及*** |
| CN109039874A (zh) * | 2018-09-17 | 2018-12-18 | 杭州安恒信息技术股份有限公司 | 一种基于行为分析的邮件审计方法及装置 |
| CN109800589A (zh) * | 2019-01-25 | 2019-05-24 | 深信服科技股份有限公司 | 一种信息安全管控方法、***、装置及可读存储介质 |
| CN110336835A (zh) * | 2019-08-05 | 2019-10-15 | 深信服科技股份有限公司 | 恶意行为的检测方法、用户设备、存储介质及装置 |
| CN110519150A (zh) * | 2018-05-22 | 2019-11-29 | 深信服科技股份有限公司 | 邮件检测方法、装置、设备、***及计算机可读存储介质 |
-
2019
- 2019-12-16 CN CN201911300387.1A patent/CN110995576B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100306330A1 (en) * | 2009-06-02 | 2010-12-02 | International Business Machines Corporation | Selection of email attachment storage location |
| CN103546449A (zh) * | 2012-12-24 | 2014-01-29 | 哈尔滨安天科技股份有限公司 | 一种基于附件格式的邮件病毒检测方法和装置 |
| CN103106573A (zh) * | 2013-02-20 | 2013-05-15 | 中国科学院信息工程研究所 | 一种基于关系图的海量电子邮件分析方法及*** |
| CN105580333A (zh) * | 2013-08-14 | 2016-05-11 | 丹尼尔·钱 | 评估可疑网络通信 |
| CN105072137A (zh) * | 2015-09-15 | 2015-11-18 | 蔡丝英 | 鱼叉式钓鱼邮件的检测方法及装置 |
| US20170097623A1 (en) * | 2015-10-05 | 2017-04-06 | Fisher-Rosemount Systems, Inc. | Method and apparatus for negating effects of continuous introduction of risk factors in determining the health of a process control system |
| CN106685803A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于钓鱼邮件溯源apt攻击事件的方法及*** |
| US20180191765A1 (en) * | 2017-01-03 | 2018-07-05 | Korea Internet & Security Agency | Method and apparatus for calculating risk of cyber attack |
| CN108418777A (zh) * | 2017-02-09 | 2018-08-17 | ***通信有限公司研究院 | 一种钓鱼邮件检测方法、装置及*** |
| CN110519150A (zh) * | 2018-05-22 | 2019-11-29 | 深信服科技股份有限公司 | 邮件检测方法、装置、设备、***及计算机可读存储介质 |
| CN109039874A (zh) * | 2018-09-17 | 2018-12-18 | 杭州安恒信息技术股份有限公司 | 一种基于行为分析的邮件审计方法及装置 |
| CN109800589A (zh) * | 2019-01-25 | 2019-05-24 | 深信服科技股份有限公司 | 一种信息安全管控方法、***、装置及可读存储介质 |
| CN110336835A (zh) * | 2019-08-05 | 2019-10-15 | 深信服科技股份有限公司 | 恶意行为的检测方法、用户设备、存储介质及装置 |
Non-Patent Citations (3)
| Title |
|---|
| ARIK VARTANIAN: "TM-Score: A Misuseability Weight Measure for Textual Content", 《IEEE TRANSACTIONS ON INFORMATION FORENSICS AND SECURITY, VOL. 9, NO. 12, DECEMBER 2014》 * |
| 李茹: "基于最小风险贝叶斯的多层次邮件过滤***的研究与实现", 《CNKI中国硕士论文全文数据库》 * |
| 韩兰胜: "《计算机病毒原理与防治技术》", 30 November 2010 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113301023A (zh) * | 2021-04-30 | 2021-08-24 | 杭州安恒信息技术股份有限公司 | 鱼叉附件的检测方法、***、电子装置和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110995576B (zh) | 2022-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10581898B1 (en) | Malicious message analysis system | |
| EP3447669B1 (en) | Information leakage detection method and device, server, and computer-readable storage medium | |
| JP4827518B2 (ja) | メッセージ内容に基づく迷惑メッセージ(スパム)の検出 | |
| US20190052655A1 (en) | Method and system for detecting malicious and soliciting electronic messages | |
| CN110519150B (zh) | 邮件检测方法、装置、设备、***及计算机可读存储介质 | |
| US20030212913A1 (en) | System and method for detecting a potentially malicious executable file | |
| US10721197B2 (en) | Cloud-based spam detection | |
| JP4669348B2 (ja) | 迷惑メール判別装置及び迷惑メール判別方法 | |
| JP2004220613A (ja) | アンチスパム技術の統合を可能にするフレームワーク | |
| US10110623B2 (en) | Delaying phishing communication | |
| CN109450929B (zh) | 一种安全检测方法及装置 | |
| CN111752973A (zh) | 生成用于识别垃圾电子邮件的启发式规则的***和方法 | |
| CN106453249B (zh) | 一种网络邮件业务监视方法 | |
| CN111404805A (zh) | 一种垃圾邮件检测方法、装置、电子设备及存储介质 | |
| US9740858B1 (en) | System and method for identifying forged emails | |
| CN110995576B (zh) | 一种邮件检测方法、装置、设备及存储介质 | |
| CN111404939A (zh) | 邮件威胁检测方法、装置、设备及存储介质 | |
| CN113630397A (zh) | 电子邮件安全控制方法、客户端及*** | |
| US20060075099A1 (en) | Automatic elimination of viruses and spam | |
| US20020147783A1 (en) | Method, device and e-mail server for detecting an undesired e-mail | |
| CN105704100A (zh) | 一种文件识别方法及装置 | |
| CN112822168B (zh) | 一种异常邮件检测方法及装置 | |
| US8655959B2 (en) | System, method, and computer program product for providing a rating of an electronic message | |
| CA2874097C (en) | Method and apparatus for detecting unauthorized bulk forwarding of sensitive data over a network | |
| WO2014038246A1 (ja) | 電子メール監視 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |