CN112039874A - 一种恶意邮件的识别方法及装置 - Google Patents
一种恶意邮件的识别方法及装置 Download PDFInfo
- Publication number
- CN112039874A CN112039874A CN202010883386.0A CN202010883386A CN112039874A CN 112039874 A CN112039874 A CN 112039874A CN 202010883386 A CN202010883386 A CN 202010883386A CN 112039874 A CN112039874 A CN 112039874A
- Authority
- CN
- China
- Prior art keywords
- information
- sending
- received
- mass
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2462—Approximate or statistical queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Probability & Statistics with Applications (AREA)
- Fuzzy Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供一种恶意邮件的识别方法及装置,从接收邮件中提取检测信息;将检测信息与防护信息进行相似度计算,防护信息是根据历史邮件中的合法URL确定的;在相似度不满足设定条件时,从接收邮件中提取特征信息,并将特征信息输入特征识别模型;根据特征识别模型输出的识别结果,确定接收邮件是否为恶意邮件;特征识别模型是通过对合法的历史邮件进行特征提取和训练得到的。该方式,首先对接收邮件进行是否为仿冒邮件的识别,在确定该接收邮件不是仿冒邮件后,继续由相应的特征识别模型对接收邮件进行是否为恶意邮件的识别,从而提高了企业的邮件安全识别***对接收邮件的安全性的识别效率,可以降低一些恶意邮件对企业造成的损害。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种恶意邮件的识别方法及装置。
背景技术
近年来,通过邮件钓鱼的方式成为了越来越流行的攻击手段,据报道称:79.2%的网络攻击始于钓鱼邮件,邮件已成为安全威胁的载体和黑客发起渗透攻击的跳板。邮件中隐藏的钓鱼统一资源定位符(Uniform Resource Locator,URL)更是防不胜防,该方式成功率高且很难通过技术手段做到实时检测和拦截。
现有针对钓鱼URL的检测技术主要以下三种方式:
1、域名、URL特征检测。从邮件内容文本分析提取URL,利用域名注册检索引擎,得到域名注册时间特征,以根据域名注册时间特征来判断是否是钓鱼URL;
2、黑名单检测,包括URL黑名单和域名黑名单;
3、网站特征对比,通过比对站点标识或页面关键信息的方式识别钓鱼URL。
以上钓鱼URL检测技术对公开***、知名***具有技术优势,黑名单普遍包括的是知名***、公开***的仿冒信息。然而,对于企业内部***而言,因为扩散范围的局限性,大概率不会进入黑名单库,也不便于网站特征的对比。
综上,目前亟需一种针对企业内部***的识别恶意邮件的方法。
发明内容
本发明提供一种恶意邮件的识别方法及装置,用以解决无法准确识别针对于企业内部***的恶意邮件的问题。
第一方面,本发明实施例提供一种恶意邮件的识别方法,该方法包括:从接收邮件中提取检测信息;将所述检测信息与防护信息进行相似度计算,所述防护信息是根据历史邮件中的合法URL确定的;在相似度不满足设定条件时,从所述接收邮件中提取特征信息,并将所述特征信息输入特征识别模型;根据所述特征识别模型输出的识别结果,确定所述接收邮件是否为恶意邮件;所述特征识别模型是通过对合法的历史邮件进行特征提取和训练得到的。
基于该方案,通过对接收邮件做检测信息的提取,将其与防护信息作相似度的计算,进一步地,在确定接收邮件不为仿冒邮件时,将接收邮件输入特征识别模型,根据模型对接收邮件的识别结果最终确定接收是否为恶意邮件。该方式,首先对接收邮件进行是否为仿冒邮件的识别,在确定该接收邮件不是仿冒邮件后,继续由相应的特征识别模型对接收邮件进行是否为恶意邮件的识别,从而提高了企业的邮件安全识别***对接收邮件的安全性的识别效率,可以降低一些恶意邮件对企业造成的损害。
作为一种可能实现的方式,在相似度满足所述设定条件时,确定所述接收邮件为恶意邮件;所述设定条件为相似度大于第一阈值小于第二阈值。
基于该方案,由于防护信息是根据历史邮件中的合法URL确定的,从而在将接收邮件的检测信息与防护信息作相似度的计算后,如果任一条的检测信息分别与防护信息中某一则对应的信息完全相同时,则确定该接收邮件属于正常邮件;若发生检测信息中存在至少一条信息与防护列表中某一则对应的信息的相似度处于一定的阈值范围,即大于第一阈值小于第二阈值,则确定该接收邮件是一封恶意邮件,对此,出于安全起见,邮件安全识别***将会采取相应的安全防护措施,比如可以对该接收邮件标记转发或隔离,而非直接将该接收邮件分发至对应的收件人。
作为一种可能实现的方式,所述防护信息是根据历史邮件中的合法URL确定的,包括:针对一个邮件统计周期,确定所述邮件统计周期中含有合法URL的历史邮件;针对所述含有合法URL的历史邮件中的群发邮件,将所述群发邮件中的合法URL作为所述防护信息;针对所述含有合法URL的历史邮件中的非群发邮件,统计合法URL在所述邮件统计周期中的非群发邮件中出现的次数,将次数最高的M个合法URL的域名作为所述防护信息。
基于该方案,通过对一个邮件统计周期中的带有合法URL的历史邮件做数据统计,一方面将群发邮件中的合法URL作为防护信息的内容,一方面对于一些非群发邮件,通过该些非群发邮件中的合法URL的提取,并统计所提取的合法URL的出现次数,并将次数最高的M个合法URL的域名作为防护信息的内容,可以避免一些危害分子企图通过对群发邮件的仿冒而对企业***造成损害的行为以及避免一些危害分子企图通过对高频出现的URL的域名的仿冒而对企业***造成损害的行为。
作为一种可能实现的方式,所述将所述检测信息与防护信息进行相似度计算之前,还包括:确定所述接收邮件与各类型黑白名单均不符合;所述各类型黑白名单包括以下至少一项:收件人黑白名单、发件人黑白名单、URL黑白名单或所述防护信息。
基于该方案,在对接收邮件作相似度计算之前,可以通过一些较为简单、快捷的识别方式来确定接收邮件是否为一恶意邮件,比如可以是通过将接收邮件的收件人信息与收件人黑白名单匹配,将接收邮件的发件人信息与发件人黑白名单匹配,将接收邮件中出现的URL与URL黑白名单或者防护信息匹配,如此,通过黑白名单匹配的方式,可以简单快速地识别出该接收邮件的安全性,只有当该接收邮件与上述的各类型的黑白名单均不符合后,则可以继续通过该接收邮件中的检测信息与防护信息执行相似度计算流程进行识别。
作为一种可能实现的方式,所述从所述接收邮件中提取特征信息,并将所述特征信息输入特征识别模型,包括:若所述接收邮件为群发邮件,则从所述接收邮件中提取群发特征信息,并将所述群发特征信息输入群发邮件识别模型;若所述接收邮件的收件人属于设定部门,则从所述接收邮件中提取部门特征信息,并将所述部门特征信息输入部门邮件识别模型。
基于该方案,根据企业特性,训练出群发邮件识别模型以及部门邮件识别模型,可以全面、全方位地实现对企业邮件的安全防护。具体而言,对于接收邮件,确定该邮件的属性,属于群发邮件还是发往设定部门的邮件,并在得到邮件的属性后,将该接收邮件的特征信息输入对应的邮件识别模型,由模型给出识别结果,确定该接收邮件是否为恶意邮件的结论,使得邮件安全识别***针对该邮件作出相应的响应行为。
作为一种可能实现的方式,所述群发特征信息包括:投递路由、主题模式、正文特征、附件特征及投递范围;所述部门特征信息包括:投递路由、主题模式、正文特征、附件特征及发件人信息。
作为一种可能实现的方式,所述从所述接收邮件中提取群发特征信息,并将所述群发特征信息输入群发邮件识别模型,包括:若所述接收邮件的发件人为个人账号,则从所述接收邮件中提取第一群发特征信息,并将所述第一群发特征信息输入个人账号群发模型;若所述接收邮件的发件人为机器人共用账号,则从所述接收邮件中提取第二群发特征信息,并将所述第二群发特征信息输入机器人共用账号群发模型;若所述接收邮件的发件人为人工共用账号,则从所述接收邮件中提取第三群发特征信息,并将所述第三群发特征信息输入人工共用账号群发模型。
基于该方案,对于群发邮件识别模型的构建过程,可以参考群发邮件在发送过程中的发送模式,根据不同的发送模式,构建不同的群发邮件识别模型,包括个人账号群发模型、机器人共用账号群发模型和人工共用账号群发模型,如此,可以提高群发邮件识别模型在具体实施过程中灵活性。
作为一种可能实现的方式,所述第一群发特征信息包括投递路由、主题模式、正文特征、附件特征、投递范围、邮件客户端信息及发件人的组织结构信息;所述第二群发特征信息包括投递路由、主题模式、正文特征、附件特征、投递范围及邮件客户端信息;所述第三群发特征信息包括投递路由、主题模式、正文特征、附件特征、投递范围及发件频率。
第二方面,本发明实施例提供一种恶意邮件的识别装置,该装置包括:信息提取单元,用于从接收邮件中提取检测信息;相似度计算单元,用于将所述检测信息与防护信息进行相似度计算,所述防护信息是根据历史邮件中的合法URL确定的;再处理单元,用于在相似度不满足设定条件时,从所述接收邮件中提取特征信息,并将所述特征信息输入特征识别模型;结果输出单元,用于根据所述特征识别模型输出的识别结果,确定所述接收邮件是否为恶意邮件;所述特征识别模型是通过对合法的历史邮件进行特征提取和训练得到的。
基于该方案,通过对接收邮件做检测信息的提取,将其与防护信息作相似度的计算,进一步地,在确定接收邮件不为仿冒邮件时,将接收邮件输入特征识别模型,根据模型对接收邮件的识别结果最终确定接收是否为恶意邮件。该方式,首先对接收邮件进行是否为仿冒邮件的识别,在确定该接收邮件不是仿冒邮件后,继续由相应的特征识别模型对接收邮件进行是否为恶意邮件的识别,从而提高了企业的邮件安全识别***对接收邮件的安全性的识别效率,可以降低一些恶意邮件对企业造成的损害。
作为一种可能实现的方式,所述结果输出单元,还用于在相似度满足所述设定条件时,确定所述接收邮件为恶意邮件;所述设定条件为相似度大于第一阈值小于第二阈值。
基于该方案,由于防护信息是根据历史邮件中的合法URL确定的,从而在将接收邮件的检测信息与防护信息作相似度的计算后,如果任一条的检测信息分别与防护信息中某一则对应的信息完全相同时,则确定该接收邮件属于正常邮件;若发生检测信息中存在至少一条信息与防护列表中某一则对应的信息的相似度处于一定的阈值范围,即大于第一阈值小于第二阈值,则确定该接收邮件是一封恶意邮件,对此,出于安全起见,邮件安全识别***将会采取相应的安全防护措施,比如可以对该接收邮件标记转发或隔离,而非直接将该接收邮件分发至对应的收件人。
作为一种可能实现的方式,该装置还包括防护信息生成单元,所述防护信息生成单元用于针对一个邮件统计周期,确定所述邮件统计周期中含有合法URL的历史邮件;针对所述含有合法URL的历史邮件中的群发邮件,将所述群发邮件中的合法URL作为所述防护信息;针对所述含有合法URL的历史邮件中的非群发邮件,统计合法URL在所述邮件统计周期中的非群发邮件中出现的次数,将次数最高的M个合法URL的域名作为所述防护信息。
基于该方案,通过对一个邮件统计周期中的带有合法URL的历史邮件做数据统计,一方面将群发邮件中的合法URL作为防护信息的内容,一方面对于一些非群发邮件,通过该些非群发邮件中的合法URL的提取,并统计所提取的合法URL的出现次数,并将次数最高的M个合法URL的域名作为防护信息的内容,可以避免一些危害分子企图通过对群发邮件的仿冒而对企业***造成损害的行为以及避免一些危害分子企图通过对高频出现的URL的域名的仿冒而对企业***造成损害的行为。
作为一种可能实现的方式,该装置还包括名单匹配单元,所述名单匹配单元用于确定所述接收邮件与各类型黑白名单均不符合;所述各类型黑白名单包括以下至少一项:收件人黑白名单、发件人黑白名单、URL黑白名单或所述防护信息。
基于该方案,在对接收邮件作相似度计算之前,可以通过一些较为简单、快捷的识别方式来确定接收邮件是否为一恶意邮件,比如可以是通过将接收邮件的收件人信息与收件人黑白名单匹配,将接收邮件的发件人信息与发件人黑白名单匹配,将接收邮件中出现的URL与URL黑白名单或者防护信息匹配,如此,通过黑白名单匹配的方式,可以简单快速地识别出该接收邮件的安全性,只有当该接收邮件与上述的各类型的黑白名单均不符合后,则可以继续通过该接收邮件中的检测信息与防护信息执行相似度计算流程进行识别。
作为一种可能实现的方式,所述再处理单元,具体用于若所述接收邮件为群发邮件,则从所述接收邮件中提取群发特征信息,并将所述群发特征信息输入群发邮件识别模型;若所述接收邮件的收件人属于设定部门,则从所述接收邮件中提取部门特征信息,并将所述部门特征信息输入部门邮件识别模型。
基于该方案,根据企业特性,训练出群发邮件识别模型以及部门邮件识别模型,可以全面、全方位地实现对企业邮件的安全防护。具体而言,对于接收邮件,确定该邮件的属性,属于群发邮件还是发往设定部门的邮件,并在得到邮件的属性后,将该接收邮件的特征信息输入对应的邮件识别模型,由模型给出识别结果,确定该接收邮件是否为恶意邮件的结论,使得邮件安全识别***针对该邮件作出相应的响应行为。
作为一种可能实现的方式,所述群发特征信息包括:投递路由、主题模式、正文特征、附件特征及投递范围;所述部门特征信息包括:投递路由、主题模式、正文特征、附件特征及发件人信息。
作为一种可能实现的方式,所述再处理单元,具体用于若所述接收邮件的发件人为个人账号,则从所述接收邮件中提取第一群发特征信息,并将所述第一群发特征信息输入个人账号群发模型;若所述接收邮件的发件人为机器人共用账号,则从所述接收邮件中提取第二群发特征信息,并将所述第二群发特征信息输入机器人共用账号群发模型;若所述接收邮件的发件人为人工共用账号,则从所述接收邮件中提取第三群发特征信息,并将所述第三群发特征信息输入人工共用账号群发模型。
基于该方案,对于群发邮件识别模型的构建过程,可以参考群发邮件在发送过程中的发送模式,根据不同的发送模式,构建不同的群发邮件识别模型,包括个人账号群发模型、机器人共用账号群发模型和人工共用账号群发模型,如此,可以提高群发邮件识别模型在具体实施过程中灵活性。
作为一种可能实现的方式,所述第一群发特征信息包括投递路由、主题模式、正文特征、附件特征、投递范围、邮件客户端信息及发件人的组织结构信息;所述第二群发特征信息包括投递路由、主题模式、正文特征、附件特征、投递范围及邮件客户端信息;所述第三群发特征信息包括投递路由、主题模式、正文特征、附件特征、投递范围及发件频率。
第三方面,本发明实施例提供了一种计算设备,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行如第一方面任一所述的方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行如第一方面任一所述的方法。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种恶意邮件的识别方法;
图2为本发明实施例提供的一种对邮件属性的识别流程示意图;
图3为本发明实施例提供的一种恶意邮件的识别装置。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
如图1所示,为本发明实施例提供的一种恶意邮件的识别方法,该方法包括:
步骤101,从接收邮件中提取检测信息。
在本步骤中,对于一封发送给企业员工的邮件,并非直接到达该企业员工的邮箱,而是被该企业的邮件安全识别***进行拦截,被拦截的该邮件可以被称为接收邮件。在邮件安全识别***对该接收邮件进行安全检测后,它可以基于检测结果确定是否将该接收邮件分发至对应的企业员工的邮箱。
邮件安全识别***在拦截到接收邮件后,将从该接收邮件中提取检测信息。该检测信息可通过一定的提取规则确定,比如可以是提取发件人信息,可以是提取收件人信息,可以是提取邮件正文信息,可以是提取其他邮件信息,还可以是以上几项邮件信息的同时提取,本发明不做具体限定。
步骤102,将所述检测信息与防护信息进行相似度计算。
在本步骤中,所述防护信息是根据历史邮件中的合法URL确定的。
步骤103,在相似度不满足设定条件时,从所述接收邮件中提取特征信息,并将所述特征信息输入特征识别模型。
在本步骤中,在相似度不满足设定条件时,表示接收邮件既不可以归属于符合防护信息中的安全邮件,也不可以被定性为对防护信息的仿冒邮件,因此可以使用模型识别的方式对该接收邮件进行安全识别。
步骤104,根据所述特征识别模型输出的识别结果,确定所述接收邮件是否为恶意邮件;所述特征识别模型是通过对合法的历史邮件进行特征提取和训练得到的。
在本步骤中,在使用模型对接收邮件进行识别后,可以基于模型给出的识别结果,确定该接收邮件的安全性,以使得邮件安全识别***对该接收邮件进行相应处理。
基于该方案,通过对接收邮件做检测信息的提取,将其与防护信息作相似度的计算,进一步地,在确定接收邮件不为仿冒邮件时,将接收邮件输入特征识别模型,根据模型对接收邮件的识别结果最终确定接收是否为恶意邮件。该方式,首先对接收邮件进行是否为仿冒邮件的识别,在确定该接收邮件不是仿冒邮件后,继续由相应的特征识别模型对接收邮件进行是否为恶意邮件的识别,从而提高了企业的邮件安全识别***对接收邮件的安全性的识别效率,可以降低一些恶意邮件对企业造成的损害。
以下将结合示例分别对上述各步骤进行详细说明。
在上述步骤102中,可选的,所述防护信息是根据历史邮件中的合法URL确定的,包括:针对一个邮件统计周期,确定所述邮件统计周期中含有合法URL的历史邮件;针对所述含有合法URL的历史邮件中的群发邮件,将所述群发邮件中的合法URL作为所述防护信息;针对所述含有合法URL的历史邮件中的非群发邮件,统计合法URL在所述邮件统计周期中的非群发邮件中出现的次数,将次数最高的M个合法URL的域名作为所述防护信息。
上述的邮件统计周期可以根据实际情况进行确定,比如可以是统计企业在刚刚过去的一个月的邮件接收情况,也可以是统计企业在其他预设时段内的邮件接收情况,本发明不做具体限定。
上述的合法URL的历史邮件,由于在邮件统计周期内,邮件已经到达相应的企业员工,企业员工在对邮件接收后并对该邮件进行了处理。由此,对于一封历史邮件来说,如果该封历史邮件中存在URL,则通过企业员工对它的处理,就已经可以确定该URL是属于合法的URL还是钓鱼URL,进而确定该历史邮件是属于合法的URL的历史邮件还是钓鱼URL的历史邮件了。本发明中的防护信息的构建则是基于合法的URL的历史邮件展开的。
上述的M个合法URL的域名,其中的M的取值可以根据实际需要进行设定,本发明不做限定。
举个例子,设邮件统计周期为刚刚过去的一个月,则通过统计这一个月内企业员工接收到的合法URL的历史邮件,并且,对每一封合法URL的历史邮件,先确定该历史邮件是否为群发邮件,比如该历史邮件的收件人数至少为2,则将该历史邮件中的合法URL添加到防护信息中;若确定该历史邮件不是群发邮件,则将该历史邮件中的合法URL进行提取,然后对该邮件统计周期内的每一封含有合法URL的历史邮件中的非群发邮件,都将其中的合法的URL进行提取,然后对相同的合法URL进行统计,将出现次数最高的M个合法URL的域名添加到防护信息中。企业的邮件安全识别***后期将对该防护信息中的URL以及域名进行重点防护,一旦发现有仿冒该防护信息中的某一URL或者某一域名的邮件,则可以将该邮件确定为恶意邮件,且不会将该邮件向相应的收件人进行分发,从而起到了对企业***的安全性防护的作用。
在上述步骤103中,可选的,在相似度满足所述设定条件时,确定所述接收邮件为恶意邮件;所述设定条件为相似度大于第一阈值小于第二阈值。
例如,某企业出于实际应用的需求考虑,将本企业的邮件安全识别***设置为从接收邮件中提取邮件正文信息。则,对于一封接收邮件,若邮件安全识别***确定关于该接收邮件所提取的邮件正文信息中包括了一URL,则通过将该URL与防护信息中的URL进行相似度的计算,计算结果包括:
若确定该URL的域名与防护信息中的一URL的域名完全一致,相似度为100%,则邮件安全识别***可以将该接收邮件识别为正常邮件,后续则可以继续分发对应的企业员工;
若确定该URL的域名与防护信息中的一URL的域名的相似度满足设定条件,该设定条件为相似度大于第一阈值而小于第二阈值,比如规定第一阈值为80%,第二阈值为100%,则邮件安全识别***可以将该接收邮件识别为仿冒邮件,后续将采取相应的安全措施,而非直接将其分发对应的企业员工;
若确定该URL的域名与防护信息中的一URL的域名的相似度不满足设定条件(相似度介于80%-100%为设定条件),比如确定该URL与防护信息中的一URL的相似度为45%,则表示邮件安全识别***无法识别该邮件是正常邮件还是仿冒邮件,从而需要邮件安全识别***对其进行后续的识别操作。
设一接收邮件包括至少一URL,通过对该接收邮件中的URL的域名与防护信息进行相似度计算后,还包括对该接收邮件中的URL是否存在异常跳转的判断,其中,确定是否存在异常跳转的判断技术可以参考现有技术,本发明不赘述。
在上述步骤103中,可选的,所述将所述检测信息与防护信息进行相似度计算之前,还包括:确定所述接收邮件与各类型黑白名单均不符合;所述各类型黑白名单包括以下至少一项:收件人黑白名单、发件人黑白名单、URL黑白名单或所述防护信息。
作为一种简单快捷的识别恶意邮件的方式,当企业的邮件安全识别***接收到一封邮件后,首先它可以将该接收邮件与多种类型的黑白名单进行比较,从而可以使得企业的邮件安全识别***可以快速鉴别一些接收邮件,从而对于一些正常的邮件可以快速的被分发至对应的企业员工,提高了企业的办公效率。
其中,作为一种可能的实现方式,黑白名单可以为收件人黑白名单。比如,对于一封接收邮件,通过提取该接收邮件的收件人信息,将该收件人信息与收件人的黑名单以及白名单分别进行匹配,当任一匹配过程得到相匹配的结果时,则结束匹配过程,若该接收邮件的收件人属于收件人白名单的范畴,则邮件安全识别***直接将其分发对应的收件人;若该接收邮件的收件人属于黑名单的范畴,则邮件安全识别***将无需将其分发对应的收件人。
其中,作为一种可能的实现方式,黑白名单可以为发件人的黑白名单。具体的识别过程可以参考邮件安全识别***对发件人的黑白名单的执行过程,在此不赘述。
其中,作为一种可能的实现方式,黑白名单可以为URL黑白名单或所述防护列表。具体的识别过程可以参考邮件安全识别***对发件人的黑白名单的执行过程,在此不赘述。
需要说明的是,本发明不对黑白名单的类型进行限定,除了包括本发明的收件人黑白名单、发件人黑白名单、URL黑白名单或所述防护信息,还包括其他可能的黑白名单;本发明也不对邮件安全识别***根据黑白名单对接收邮件进行安全识别过程中的先后顺序进行限定。在邮件安全识别***根据某一类型黑白名单对接收邮件的识别结果为白名单范畴或者黑名单范畴时,则直接对接收邮件进行分发去向的确定(直接分发或者拒绝分发企业员工),而无需继续执行后续的黑白名单的匹配过程。
在上述步骤103中,可选的,所述从所述接收邮件中提取特征信息,并将所述特征信息输入特征识别模型,包括:若所述接收邮件为群发邮件,则从所述接收邮件中提取群发特征信息,并将所述群发特征信息输入群发邮件识别模型;若所述接收邮件的收件人属于设定部门,则从所述接收邮件中提取部门特征信息,并将所述部门特征信息输入部门邮件识别模型。
企业的邮件安全识别***对于一封相似度不满足设定条件的接收邮件,则继续使用已训练好的模型来识别该接收邮件的安全性。比如,考虑到群发邮件中如果涉及至少一个钓鱼URL的情形,如果该群发邮件被多个收件人点开其中的钓鱼URL后,则对企业造成的危害将是巨大的;另一方面,由于企业的一些部门的特殊性,与其进行邮件往来的客户将普遍具有一定的特性。基于以上两方面的考虑,本发明实施例中分别训练了群发邮件识别模型以及部门邮件识别模型。从而,对于一封如果为群发邮件的接收邮件,则将从该接收邮件中提取群发特征信息,可选的,群发特征信息包括:投递路由、主题模式、正文特征、附件特征及投递范围,并将其输入群发邮件识别模型;对于一封如果为发送至设定部门的接收邮件,则将从该接收邮件中提取部门特征信息,可选的,部门特征信息包括:投递路由、主题模式、正文特征、附件特征及发件人信息,并将其输入群发邮件识别模型。
举个例子,对发至企业内部特定部门的邮件进行特征提取,如对发往人力资源、财务部门的邮件进行解析,并提取关键特征。包括发件人、投递路由、发件频率、邮件主题关键词、附件标题关键词、附件类型、邮件人组织结构范围、正文关键词、超链接URL、超链接文本描述10个特征作为部门邮件特征。比如,企业的财务部门经常要处理政府有关部门的邮件信息,如果收到一封通知邮件,之前都是[email protected]发送的邮件,但此次是[email protected]发送的邮件,那此邮件被定义为恶意邮件,并进行后续分析,而不将其分发至财务部门的员工邮箱。
对于群发邮件识别模型的构建,由于群发邮件行为的多样性,比如可以为企业内部的某一员工给本企业的其他员工群发邮件,也可以是机器人通过一个群发账号向企业员工群发邮件,还可以是多个个人共同使用一个群发账号向企业员工群发邮件。鉴于此,本发明实施例提出至少三种群发邮件识别模型,如下:
可选的,所述从所述接收邮件中提取群发特征信息,并将所述群发特征信息输入群发邮件识别模型,包括:若所述接收邮件的发件人为个人账号,则从所述接收邮件中提取第一群发特征信息,并将所述第一群发特征信息输入个人账号群发模型;若所述接收邮件的发件人为机器人共用账号,则从所述接收邮件中提取第二群发特征信息,并将所述第二群发特征信息输入机器人共用账号群发模型;若所述接收邮件的发件人为人工共用账号,则从所述接收邮件中提取第三群发特征信息,并将所述第三群发特征信息输入人工共用账号群发模型。
在一种可能的实现中,当企业的邮件安全识别***确定该接收邮件的发件人属于本企业的某一员工,也即,确定该接收邮件的发件人为个人账号,则从该接收邮件中提取第一群发特征信息,包括投递路由、主题模式、正文特征、附件特征、投递范围、邮件客户端信息及发件人的组织结构信息,并将这些能够从该接收邮件中提取到的特征信息输入个人账号识别模型,由个人账号识别模型对该接收邮件的安全性进行识别。
比如,某个人账号之前学习到的携带的文档附件版本都是office 2013,某天此账号发送了带宏的office 2003的文档,则邮件安全识别***可以将其确定为恶意邮件,无需将其进行群分发给收件人,而是需要进行后续的深度分析,怀疑此账号密码泄露或主机失陷。
在一种可能的实现中,当企业的邮件安全识别***确定该接收邮件的发件人属于一个机器人,该机器人用于向本企业的一些员工群发邮件,也即,确定该接收邮件的发件人为机器人共用账号,则从该接收邮件中提取第二群发特征信息,包括投递路由、主题模式、正文特征、附件特征、投递范围及邮件客户端信息,并将这些能够从该接收邮件中提取到的特征信息输入机器人共用账号识别模型,由机器人共用账号识别模型对该接收邮件的安全性进行识别。
比如,某个机器人值守的账号之前学习到的投递路由都是a-企业邮箱服务器,如果当前收到此账号发的邮件,但投递路由是c-b-企业邮箱服务器,与之前的投递路由比较,可以确定投递路由发生了变化。如此,邮件安全识别***可以将其确定为恶意邮件,无需将其进行群分发给收件人,而是需要进行深入分析,并对此账号后续的行为进行重点关注。
在一种可能的实现中,当企业的邮件安全识别***确定该接收邮件的发件人属于一个由多个个人共同值守的人工共用账号,该人工共用账号由多个个人轮流使用,用于向本企业的一些员工群发邮件,也即,确定该接收邮件的发件人为人工共用账号,则从该接收邮件中提取第三群发特征信息,包括投递路由、主题模式、正文特征、附件特征、投递范围及发件频率,并将这些能够从该接收邮件中提取到的特征信息输入人工共用账号识别模型,由人工共用账号识别模型对该接收邮件的安全性进行识别。
比如,某个人工值守的群发账号之前发信范围都是研发人员,发送附件类型都是pdf,某天此账号发送了一个带exe附件的邮件给财务部门,如此,邮件安全识别***可以将其确定为恶意邮件,无需将其进行群分发给收件人,而是需要进行深度分析,怀疑此账号值守的***可能已经失陷,开始内部横向移动。
如图2所示,为本发明实施例提供的一种对邮件属性的识别流程示意图,对邮件的属性进行识别的执行主体为企业的邮件安全识别***。包括:
步骤201,接收待检测的邮件。
步骤202,对待检测的邮件进行黑白名单的过滤,包括:若待检测的邮件不符合预设的各种类型的黑白名单,则执行步骤203;若待检测的邮件符合任一预设类型的白名单,则执行步骤206;若待检测的邮件符合任一预设类型的黑名单,则执行步骤207。
步骤203,对待检测的邮件进行防护列表的识别,包括:若待检测邮件中含有的URL与防护列表中的一URL或者域名完全一致,则执行步骤206;若待检测的邮件中含有的URL与防护列表中的一URL或者域名的相似度符合设定条件,则执行步骤207;若待检测邮件中的含有的URL与防护列表中的一URL的相似度不满足设定条件,则执行步骤204。
步骤204,对待检测的邮件进行模型的识别,包括:群发邮件识别模型和部门邮件识别模型,其中,群发邮件识别模型又可包括个人账号群发模型、机器人共用账号和人工共用账号。
步骤205,输出模型的识别结果。
基于同样的构思,本发明实施例提供一种恶意邮件的识别装置。如图3所示,该装置包括:
信息提取单元301,用于从接收邮件中提取检测信息。
相似度计算单元302,用于将所述检测信息与防护信息进行相似度计算,所述防护信息是根据历史邮件中的合法URL确定的。
再处理单元303,用于在相似度不满足设定条件时,从所述接收邮件中提取特征信息,并将所述特征信息输入特征识别模型。
结果输出单元304,用于根据所述特征识别模型输出的识别结果,确定所述接收邮件是否为恶意邮件;所述特征识别模型是通过对合法的历史邮件进行特征提取和训练得到的。
进一步地,对于所述装置,结果输出单元304,还用于在相似度满足所述设定条件时,确定所述接收邮件为恶意邮件;所述设定条件为相似度大于第一阈值小于第二阈值。
进一步地,对于所述装置,还包括防护信息生成单元305,用于针对一个邮件统计周期,确定所述邮件统计周期中含有合法URL的历史邮件;针对所述含有合法URL的历史邮件中的群发邮件,将所述群发邮件中的合法URL作为所述防护信息;针对所述含有合法URL的历史邮件中的非群发邮件,统计合法URL在所述邮件统计周期中的非群发邮件中出现的次数,将次数最高的M个合法URL的域名作为所述防护信息。
进一步地,对于所述装置,还包括名单匹配单元306,用于确定所述接收邮件与各类型黑白名单均不符合;所述各类型黑白名单包括以下至少一项:收件人黑白名单、发件人黑白名单、URL黑白名单或所述防护信息。
进一步地,对于所述装置,再处理单元303,具体用于若所述接收邮件为群发邮件,则从所述接收邮件中提取群发特征信息,并将所述群发特征信息输入群发邮件识别模型;若所述接收邮件的收件人属于设定部门,则从所述接收邮件中提取部门特征信息,并将所述部门特征信息输入部门邮件识别模型。
进一步地,对于所述装置,所述群发特征信息包括:投递路由、主题模式、正文特征、附件特征及投递范围;所述部门特征信息包括:投递路由、主题模式、正文特征、附件特征及发件人信息。
进一步地,对于所述装置,再处理单元303,具体用于若所述接收邮件的发件人为个人账号,则从所述接收邮件中提取第一群发特征信息,并将所述第一群发特征信息输入个人账号群发模型;若所述接收邮件的发件人为机器人共用账号,则从所述接收邮件中提取第二群发特征信息,并将所述第二群发特征信息输入机器人共用账号群发模型;若所述接收邮件的发件人为人工共用账号,则从所述接收邮件中提取第三群发特征信息,并将所述第三群发特征信息输入人工共用账号群发模型。
进一步地,对于所述装置,所述第一群发特征信息包括投递路由、主题模式、正文特征、附件特征、投递范围、邮件客户端信息及发件人的组织结构信息;所述第二群发特征信息包括投递路由、主题模式、正文特征、附件特征、投递范围及邮件客户端信息;所述第三群发特征信息包括投递路由、主题模式、正文特征、附件特征、投递范围及发件频率。
本发明实施例提供了一种计算设备,该计算设备具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(Personal Digital Assistant,PDA)等。该计算设备可以包括中央处理器(Center Processing Unit,CPU)、存储器、输入/输出设备等,输入设备可以包括键盘、鼠标、触摸屏等,输出设备可以包括显示设备,如液晶显示器(Liquid Crystal Display,LCD)、阴极射线管(Cathode Ray Tube,CRT)等。
存储器,可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器提供存储器中存储的程序指令和数据。在本发明实施例中,存储器可以用于存储执行恶意邮件的识别方法的程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行恶意邮件的识别方法。
本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行恶意邮件的识别方法。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种恶意邮件的识别方法,其特征在于,包括:
从接收邮件中提取检测信息;
将所述检测信息与防护信息进行相似度计算,所述防护信息是根据历史邮件中的合法URL确定的;
在相似度不满足设定条件时,从所述接收邮件中提取特征信息,并将所述特征信息输入特征识别模型;
根据所述特征识别模型输出的识别结果,确定所述接收邮件是否为恶意邮件;所述特征识别模型是通过对合法的历史邮件进行特征提取和训练得到的。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
在相似度满足所述设定条件时,确定所述接收邮件为恶意邮件;所述设定条件为相似度大于第一阈值小于第二阈值。
3.如权利要求1所述的方法,其特征在于,
所述防护信息是根据历史邮件中的合法URL确定的,包括:
针对一个邮件统计周期,确定所述邮件统计周期中含有合法URL的历史邮件;
针对所述含有合法URL的历史邮件中的群发邮件,将所述群发邮件中的合法URL作为所述防护信息;
针对所述含有合法URL的历史邮件中的非群发邮件,统计合法URL在所述邮件统计周期中的非群发邮件中出现的次数,将次数最高的M个合法URL的域名作为所述防护信息。
4.如权利要求1至3任一项所述的方法,其特征在于,
所述从所述接收邮件中提取特征信息,并将所述特征信息输入特征识别模型,包括:
若所述接收邮件为群发邮件,则从所述接收邮件中提取群发特征信息,并将所述群发特征信息输入群发邮件识别模型;
若所述接收邮件的收件人属于设定部门,则从所述接收邮件中提取部门特征信息,并将所述部门特征信息输入部门邮件识别模型。
5.如权利要求4所述的方法,其特征在于,
所述群发特征信息包括:投递路由、主题模式、正文特征、附件特征及投递范围;
所述部门特征信息包括:投递路由、主题模式、正文特征、附件特征及发件人信息。
6.如权利要求4所述的方法,其特征在于,
所述从所述接收邮件中提取群发特征信息,并将所述群发特征信息输入群发邮件识别模型,包括:
若所述接收邮件的发件人为个人账号,则从所述接收邮件中提取第一群发特征信息,并将所述第一群发特征信息输入个人账号群发模型;
若所述接收邮件的发件人为机器人共用账号,则从所述接收邮件中提取第二群发特征信息,并将所述第二群发特征信息输入机器人共用账号群发模型;
若所述接收邮件的发件人为人工共用账号,则从所述接收邮件中提取第三群发特征信息,并将所述第三群发特征信息输入人工共用账号群发模型。
7.如权利要求6所述的方法,其特征在于,
所述第一群发特征信息包括投递路由、主题模式、正文特征、附件特征、投递范围、邮件客户端信息及发件人的组织结构信息;
所述第二群发特征信息包括投递路由、主题模式、正文特征、附件特征、投递范围及邮件客户端信息;
所述第三群发特征信息包括投递路由、主题模式、正文特征、附件特征、投递范围及发件频率。
8.一种恶意邮件的识别装置,其特征在于,包括:
信息提取单元,用于从接收邮件中提取检测信息;
相似度计算单元,用于将所述检测信息与防护信息进行相似度计算,所述防护信息是根据历史邮件中的合法URL确定的;
再处理单元,用于在相似度不满足设定条件时,从所述接收邮件中提取特征信息,并将所述特征信息输入特征识别模型;
结果输出单元,用于根据所述特征识别模型输出的识别结果,确定所述接收邮件是否为恶意邮件;所述特征识别模型是通过对合法的历史邮件进行特征提取和训练得到的。
9.一种计算设备,其特征在于,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行如权利要求1-7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行如权利要求1-7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010883386.0A CN112039874B (zh) | 2020-08-28 | 2020-08-28 | 一种恶意邮件的识别方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010883386.0A CN112039874B (zh) | 2020-08-28 | 2020-08-28 | 一种恶意邮件的识别方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112039874A true CN112039874A (zh) | 2020-12-04 |
CN112039874B CN112039874B (zh) | 2023-03-24 |
Family
ID=73586721
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010883386.0A Active CN112039874B (zh) | 2020-08-28 | 2020-08-28 | 一种恶意邮件的识别方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112039874B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112765502A (zh) * | 2021-01-13 | 2021-05-07 | 上海派拉软件股份有限公司 | 恶意访问检测方法、装置、电子设备和存储介质 |
CN117061198A (zh) * | 2023-08-30 | 2023-11-14 | 广东励通信息技术有限公司 | 一种基于大数据的网络安全预警***及方法 |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003034656A1 (en) * | 2001-09-21 | 2003-04-24 | Docent, Inc. | Method and system to securely change a password in a distributed computing system |
CN101667979A (zh) * | 2009-10-12 | 2010-03-10 | 哈尔滨工程大学 | 基于链接域名和用户反馈的反钓鱼邮件***及方法 |
CN105072137A (zh) * | 2015-09-15 | 2015-11-18 | 蔡丝英 | 鱼叉式钓鱼邮件的检测方法及装置 |
CN107402936A (zh) * | 2016-05-20 | 2017-11-28 | 阿里巴巴集团控股有限公司 | 信息识别方法及装置 |
CN108259415A (zh) * | 2016-12-28 | 2018-07-06 | 北京奇虎科技有限公司 | 一种邮件检测的方法及装置 |
CN108418777A (zh) * | 2017-02-09 | 2018-08-17 | ***通信有限公司研究院 | 一种钓鱼邮件检测方法、装置及*** |
JP6493606B1 (ja) * | 2018-06-29 | 2019-04-03 | キヤノンマーケティングジャパン株式会社 | 情報処理装置、クライアント端末、制御方法、及びプログラム |
CN110149266A (zh) * | 2018-07-19 | 2019-08-20 | 腾讯科技(北京)有限公司 | 垃圾邮件识别方法及装置 |
CN110300054A (zh) * | 2019-07-03 | 2019-10-01 | 论客科技(广州)有限公司 | 恶意钓鱼邮件的识别方法及装置 |
CN110519150A (zh) * | 2018-05-22 | 2019-11-29 | 深信服科技股份有限公司 | 邮件检测方法、装置、设备、***及计算机可读存储介质 |
CN110740117A (zh) * | 2018-10-31 | 2020-01-31 | 哈尔滨安天科技集团股份有限公司 | 仿冒域名检测方法、装置、电子设备及存储介质 |
CN111092902A (zh) * | 2019-12-26 | 2020-05-01 | 中国科学院信息工程研究所 | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 |
US20200204572A1 (en) * | 2018-12-19 | 2020-06-25 | Abnormal Security Corporation | Threat detection platforms for detecting, characterizing, and remediating email-based threats in real time |
US20200213347A1 (en) * | 2018-12-28 | 2020-07-02 | Trust Ltd. | Method and computing device for generating indication of malicious web resources |
CN113630397A (zh) * | 2021-07-28 | 2021-11-09 | 上海纽盾网安科技有限公司 | 电子邮件安全控制方法、客户端及*** |
-
2020
- 2020-08-28 CN CN202010883386.0A patent/CN112039874B/zh active Active
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003034656A1 (en) * | 2001-09-21 | 2003-04-24 | Docent, Inc. | Method and system to securely change a password in a distributed computing system |
CN101667979A (zh) * | 2009-10-12 | 2010-03-10 | 哈尔滨工程大学 | 基于链接域名和用户反馈的反钓鱼邮件***及方法 |
CN105072137A (zh) * | 2015-09-15 | 2015-11-18 | 蔡丝英 | 鱼叉式钓鱼邮件的检测方法及装置 |
CN107402936A (zh) * | 2016-05-20 | 2017-11-28 | 阿里巴巴集团控股有限公司 | 信息识别方法及装置 |
CN108259415A (zh) * | 2016-12-28 | 2018-07-06 | 北京奇虎科技有限公司 | 一种邮件检测的方法及装置 |
CN108418777A (zh) * | 2017-02-09 | 2018-08-17 | ***通信有限公司研究院 | 一种钓鱼邮件检测方法、装置及*** |
CN110519150A (zh) * | 2018-05-22 | 2019-11-29 | 深信服科技股份有限公司 | 邮件检测方法、装置、设备、***及计算机可读存储介质 |
JP6493606B1 (ja) * | 2018-06-29 | 2019-04-03 | キヤノンマーケティングジャパン株式会社 | 情報処理装置、クライアント端末、制御方法、及びプログラム |
CN110149266A (zh) * | 2018-07-19 | 2019-08-20 | 腾讯科技(北京)有限公司 | 垃圾邮件识别方法及装置 |
CN110740117A (zh) * | 2018-10-31 | 2020-01-31 | 哈尔滨安天科技集团股份有限公司 | 仿冒域名检测方法、装置、电子设备及存储介质 |
US20200204572A1 (en) * | 2018-12-19 | 2020-06-25 | Abnormal Security Corporation | Threat detection platforms for detecting, characterizing, and remediating email-based threats in real time |
US20200213347A1 (en) * | 2018-12-28 | 2020-07-02 | Trust Ltd. | Method and computing device for generating indication of malicious web resources |
CN110300054A (zh) * | 2019-07-03 | 2019-10-01 | 论客科技(广州)有限公司 | 恶意钓鱼邮件的识别方法及装置 |
CN111092902A (zh) * | 2019-12-26 | 2020-05-01 | 中国科学院信息工程研究所 | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 |
CN113630397A (zh) * | 2021-07-28 | 2021-11-09 | 上海纽盾网安科技有限公司 | 电子邮件安全控制方法、客户端及*** |
Non-Patent Citations (2)
Title |
---|
S.VENJATRAMAN,B.SURENDIRAN&P.ARUN RAJ KUMAR: "Spam e-mail classification for the Internet of Things environment using semantic similarity approach", 《SPRINGERLINK》 * |
吴峻,李洋: "一种新型的基于URL过滤的反垃圾邮件技术", 《计算机应用研究》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112765502A (zh) * | 2021-01-13 | 2021-05-07 | 上海派拉软件股份有限公司 | 恶意访问检测方法、装置、电子设备和存储介质 |
CN112765502B (zh) * | 2021-01-13 | 2024-03-19 | 上海派拉软件股份有限公司 | 恶意访问检测方法、装置、电子设备和存储介质 |
CN117061198A (zh) * | 2023-08-30 | 2023-11-14 | 广东励通信息技术有限公司 | 一种基于大数据的网络安全预警***及方法 |
CN117061198B (zh) * | 2023-08-30 | 2024-02-02 | 广东励通信息技术有限公司 | 一种基于大数据的网络安全预警***及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112039874B (zh) | 2023-03-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11159545B2 (en) | Message platform for automated threat simulation, reporting, detection, and remediation | |
US9906554B2 (en) | Suspicious message processing and incident response | |
US9674221B1 (en) | Collaborative phishing attack detection | |
Mughaid et al. | An intelligent cyber security phishing detection system using deep learning techniques | |
US9774626B1 (en) | Method and system for assessing and classifying reported potentially malicious messages in a cybersecurity system | |
CN108833186B (zh) | 一种网络攻击预测方法及装置 | |
CN108471429B (zh) | 一种网络攻击告警方法及*** | |
US8489689B1 (en) | Apparatus and method for obfuscation detection within a spam filtering model | |
US8112484B1 (en) | Apparatus and method for auxiliary classification for generating features for a spam filtering model | |
Isacenkova et al. | Inside the scam jungle: A closer look at 419 scam email operations | |
CN104217160A (zh) | 一种中文钓鱼网站检测方法及*** | |
Tran et al. | Towards a feature rich model for predicting spam emails containing malicious attachments and urls | |
CN108833185B (zh) | 一种网络攻击路线还原方法及*** | |
GB2469918A (en) | Determining the possibility that a website link is associated with fraudulent activity | |
Mohammed et al. | An anti-spam detection model for emails of multi-natural language | |
CN112039874B (zh) | 一种恶意邮件的识别方法及装置 | |
Balim et al. | Automatic detection of smishing attacks by machine learning methods | |
Baror et al. | A taxonomy for cybercrime attack in the public cloud | |
Priya et al. | Detection of phishing websites using C4. 5 data mining algorithm | |
Yu et al. | An explainable method of phishing emails generation and its application in machine learning | |
Chen et al. | Fraud analysis and detection for real-time messaging communications on social networks | |
US11257090B2 (en) | Message processing platform for automated phish detection | |
CN114499980A (zh) | 一种钓鱼邮件检测方法、装置、设备及存储介质 | |
CN113746814A (zh) | 邮件处理方法、装置、电子设备及存储介质 | |
Mittal et al. | Phishing detection using natural language processing and machine learning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |