CN114760119B

CN114760119B - 一种钓鱼邮件攻击检测方法、装置及***

Info

Publication number: CN114760119B
Application number: CN202210353048.5A
Authority: CN
Inventors: 柯明明
Original assignee: Beijing Anbotong Jin'an Technology Co ltd
Current assignee: Beijing Anbotong Jin'an Technology Co ltd
Priority date: 2022-04-02
Filing date: 2022-04-02
Publication date: 2023-12-12
Anticipated expiration: 2042-04-02
Also published as: CN114760119A

Abstract

本发明涉及一种钓鱼邮件攻击检测方法、装置及***，上述方法包括：获取电子邮件流量；根据所述电子邮件流量的元数据信息在特征向量库中进行向量匹配和/或在配置监测项中进行配置项匹配，确定威胁权值；根据所述威胁权值，判断所述电子邮件流量是否钓鱼邮件，并更新所述特征向量库。本发明充分利用多维度检测项，可以灵活配置，形成配置监测项中的检测项和检测级别的二维矩阵，从而解决了钓鱼邮件检测无法根据公司安全管理员的配置自适应检测策略问题，能让公司安全管理员很好地平衡检测率和处理效率。

Description

一种钓鱼邮件攻击检测方法、装置及***

技术领域

本发明计算机安全技术领域，尤其涉及一种钓鱼邮件攻击检测方法、装置及***。

背景技术

电子邮件作为互联网最常见的应用之一，是人们工作和生活中不可或缺的组成部分；但目前电子邮件的安全面临着不可忽视的安全挑战，尤为钓鱼邮件攻击最为突出。钓鱼邮件是指利用伪装的电子邮箱，欺骗收件人将账号、口令等信息回复给指定的接收者；或诱使邮件接收者点击包含恶意程序的附件或者指向包含恶意程序的恶意链接，进而控制目标主机窃取敏感信息。近年来，钓鱼邮件的数量呈现持续上升趋势，给网络安全带来了严峻挑战。

现有的钓鱼邮件检测方法大多数都是基于内置特征库，对钓鱼邮件的内容特征进行检测，这种检测方式大都依赖于内容特征库的更新，并且检测算法策略固定，攻击者对邮件内容进行针对性伪装，就会产生大量的误报，需要手动一一确认，消耗公司安全管理员的精力，降低处理效率，提高公司运营成本。

因此，现在亟需一种高效准确的钓鱼邮件攻击检测方法来解决上述问题。

发明内容

有鉴于此，有必要提供及一种钓鱼邮件攻击检测方法、装置及***，用以克服现有技术中无法高效准确地识别钓鱼邮件的问题。

为了解决上述技术问题，本发明提供一种钓鱼邮件攻击检测方法，包括：

获取电子邮件流量；

根据所述电子邮件流量的元数据信息在特征向量库中进行向量匹配和/或在配置监测项中进行配置项匹配，确定威胁权值；

根据所述威胁权值，判断所述电子邮件流量是否钓鱼邮件，并更新所述特征向量库。

进一步地，所述根据所述电子邮件流量的元数据信息在特征向量库中进行向量匹配和/或在配置监测项中进行配置项匹配，确定威胁权值，包括：

根据所述电子邮件流量的元数据信息在所述特征向量库中进行向量匹配，其中，所述特征向量库包括信誉特征库、转发关系库、流量特征库；

若匹配命中到所述特征向量库，则确定匹配结果；

若未匹配命中所述特征向量库，则在所述配置监测项中进行配置项匹配，确定威胁权值。

进一步地所述配置监测项包括邮件检测项、敏感词检测项和检测级别检测项，所述若未匹配命中所述特征向量库，则在所述配置监测项中进行配置项匹配，确定威胁权值，包括：

若未匹配命中所述特征向量库，则根据所述元数据信息，进行邮件检测项、敏感词检测项和检测级别的配置检测，确定所述元数据信息的检测结果；

基于所述邮件检测项和所述检测级别的二维矩阵，根据所述元数据信息的检测结果，确定所述威胁权值。

进一步地，所述元数据信息包括邮件头信息、正文信息、联动情报、附件文件信息、敏感词信息，所述基于所述邮件检测项和所述检测级别的二维矩阵，根据所述元数据信息的检测结果，确定所述威胁权值，包括：

分别根据所述邮件头信息、所述正文信息、所述联动情报、所述附件文件信息、所述敏感词信息在配置的所述敏感词检测项进行检测命中；

若命中，则根据所述邮件检测项和所述检测级别的二维矩阵，确定对应的权重；

根据每个命中的所述元数据信息对应的权重，确定所述威胁权重。

进一步地，所述根据每个命中的所述元数据信息对应的权重，确定所述威胁权重，包括：

根据每个命中的所述元数据信息对应的权重和预设阈值的乘积，确定对应的权项分数；

根据每个命中的所述元数据信息的权项分数之和，确定所述威胁权重。

进一步地，所述根据所述威胁权值，判断所述电子邮件流量是否钓鱼邮件，包括：

根据所述检测级别，确定预设阈值；

若所述威胁权重大于或等于所述检测级别对应的预设阈值，则判定为钓鱼邮件，且触发告警上报；

若所述威胁权重小于所述检测级别对应的预设阈值，则判定为非钓鱼邮件。

进一步地，所述特征向量库包括信誉特征库、转发关系库、流量特征库，所述并更新所述特征向量库，包括：

根据判断为所述钓鱼邮件的电子邮件流量的向量特征，更新所述特征向量库；

其中，所述向量特征包括信誉特征，根据所述信誉特征更新所述信誉特征库；所述向量特征包括转发关系特征，根据所述转发关系特征更新所述转发关系库；所述向量特征包括流量特征，根据所述流量特征更新所述流量特征库。

进一步地，所述方法还包括：根据向量匹配结果，判断所述电子邮件流量是否钓鱼邮件。

本发明还提供一种钓鱼邮件攻击检测装置，包括：

获取单元，用于获取电子邮件流量；

处理单元，用于根据所述电子邮件流量的元数据信息在特征向量库中进行向量匹配和/或在配置监测项中进行配置项匹配，确定威胁权值；

判断单元，用于根据所述威胁权值，判断所述电子邮件流量是否钓鱼邮件，并更新所述特征向量库。

本发明还提供一种钓鱼邮件攻击检测***，包括处理器，所述处理器用于执行如上所述的钓鱼邮件攻击检测方法。

与现有技术相比，本发明的有益效果包括：首先，对电子邮件流量进行有效的获取；然后，对电子邮件流量的元数据信息进行有效地提取，通过特征向量库的匹配和/或配置项的匹配，确定对应的威胁权值，保证匹配手段的多样性，从而确保匹配结果的准确性；最后，基于威胁权值，识别其中的钓鱼邮件，并根据识别出的钓鱼邮件更新特征向量库，实现闭环学***衡检测率和处理效率。

附图说明

图1为本发明提供的钓鱼邮件攻击检测方法一实施例的流程示意图；

图2为本发明提供的图1中步骤S102一实施例的流程示意图；

图3为本发明提供的图2中步骤S203一实施例的流程示意图；

图4为本发明提供的图3中步骤S302一实施例的流程示意图；

图5为本发明提供的图4中步骤S403一实施例的流程示意图；

图6为本发明提供的图1中步骤S103一实施例的流程示意图；

图7为本发明提供的钓鱼邮件攻击检测装置一实施例的结构示意图；

图8为本发明提供的电子设备一实施例的结构示意图。

具体实施方式

下面结合附图来具体描述本发明的优选实施例，其中，附图构成本申请一部分，并与本发明的实施例一起用于阐释本发明的原理，并非用于限定本发明的范围。

在本发明的描述中，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。此外，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

在本发明的描述中，提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，所描述的实施例可以与其它实施例相结合。

本发明提供了一种钓鱼邮件攻击检测方法、装置及***，通过特征向量库的匹配、配置监测项的匹配，多维度地对电子邮件流量的元数据信息进行识别，保证识别钓鱼邮件识别的灵活性，为进一步提高钓鱼邮件识别的高效性提供了新思路。

在实施例描述之前，对涉及到的相关词语进行释义：

钓鱼邮件：指利用伪装的电子邮箱，欺骗收件人将账号、口令等信息回复给指定的接收者；或诱使邮件接收者点击包含恶意程序的附件或者指向包含恶意程序的恶意链接，进而控制目标主机窃取敏感信息。

基于上述技术名词的描述，现有技术往往基于内置特征库对钓鱼邮件的内容特征进行检测，这种检测方式大都依赖于内容特征库的更新，检测率低问题；且钓鱼邮件检测算法无法根据公司安全管理员的配置自适应检测策略，在检测率和处理效率间平衡，提高处理效率，降低公司运营成本。因而，本发明旨在提出一种高效准确的钓鱼邮件攻击检测方法、装置及***。

以下分别对具体实施例进行详细说明：

本发明实施例提供了一种钓鱼邮件攻击检测方法，结合图1来看，图1为本发明提供的钓鱼邮件攻击检测方法一实施例的流程示意图，上述方法包括步骤S101至步骤S103，其中：

在步骤S101中，获取电子邮件流量；

在步骤S102中，根据所述电子邮件流量的元数据信息在特征向量库中进行向量匹配和/或在配置监测项中进行配置项匹配，确定威胁权值；

在步骤S103中，根据所述威胁权值，判断所述电子邮件流量是否钓鱼邮件，并更新所述特征向量库。

在本发明实施例中，首先，对电子邮件流量进行有效的获取；然后，对电子邮件流量的元数据信息进行有效地提取，通过特征向量库的匹配和/或配置项的匹配，确定对应的威胁权值，保证匹配手段的多样性，从而确保匹配结果的准确性；最后，基于威胁权值，识别其中的钓鱼邮件，并根据识别出的钓鱼邮件更新特征向量库，实现闭环学习和反馈，提高特征向量库的识别准确性和丰富性。

作为优选的实施例，结合图2来看，图2为本发明提供的图1中步骤S102一实施例的流程示意图，上述步骤S102包括步骤S201至步骤S203，其中：

在步骤S201中，根据所述电子邮件流量的元数据信息在所述特征向量库中进行向量匹配，其中，所述特征向量库包括信誉特征库、转发关系库、流量特征库；

在步骤S202中，若匹配命中到所述特征向量库，则确定匹配结果；

在步骤S203中，若未匹配命中所述特征向量库，则在所述配置监测项中进行配置项匹配，确定威胁权值。

在本发明实施例中，***会对待检测邮件流量，进行模型快速匹配，未命中的，依据配置的检测项，继续步骤S203生成对应的威胁权值，同时自动计算出一个威胁权值总和；采用步骤S203，如果权值总和高于检测级别对应的权值，则***会将当前邮件判定为钓鱼邮件。

作为优选的实施例，结合图3来看，图3为本发明提供的图2中步骤S203一实施例的流程示意图，上述步骤S203包括步骤S301至步骤S302，其中：

在步骤S301中，若未匹配命中所述特征向量库，则根据所述元数据信息，进行邮件检测项、敏感词检测项和检测级别的配置检测，确定所述元数据信息的检测结果；

在步骤S302中，基于所述邮件检测项和所述检测级别的二维矩阵，根据所述元数据信息的检测结果，确定所述威胁权值。

在本发明实施例中，基于多维度检测项对邮件进行检测，支持检测级别灵活配置，形成检测项和检测级别的二维矩阵，从而高效确定威胁权值。

作为优选的实施例，所述元数据信息包括邮件头信息、正文信息、联动情报、附件文件信息、敏感词信息，结合图4来看，图4为本发明提供的图3中步骤S302一实施例的流程示意图，上述步骤S302包括步骤S401至步骤S403，其中：

在步骤S401中，分别根据所述邮件头信息、所述正文信息、所述联动情报、所述附件文件信息、所述敏感词信息在配置的所述敏感词检测项进行检测命中；

在步骤S402中，若命中，则根据所述邮件检测项和所述检测级别的二维矩阵，确定对应的权重；

在步骤S403中，根据每个命中的所述元数据信息对应的权重，确定所述威胁权重。

在本发明实施例中，分别根据邮件头信息、正文信息、联动情报、附件文件信息、敏感词信息进行二维矩阵的匹配查询，确定的威胁权重。

需要说明的是，当对一条电子邮件流量处理时，提取邮件元数据，具体包括以下三部分：

1、邮件头部信息：发件人邮箱和IP地址(From)，表示一个或多个邮件的作者，显示在正文的发件人。由发件方编辑，例如发垃圾的就会将此字段编辑成不存在的地址；发诈骗邮件的就会将此字段编辑成被冒充的邮件地址。具体包括：收件人邮箱和IP地址(To)；抄送的邮件地址(Cc)；密送的邮件地址(Bcc)；邮件主题(Subject)；邮件的实际投递者(Sender)，只能是一个，一般由收件方添加，邮件服务商在收到邮件后会将邮件会话里面的实际投递者与信头From字段标识的发件这进行比较，如不一致则在信头下方加入Sender字段标识邮件实际投递者，但这个字段也可由发件方决定的；邮件的回复地址(Reply-to)，由发件方编辑，希望收件人回复邮件时回复到指定的地址。一般情况下，如不额外添加Reply-to字段，收件人回复邮件时，将回复到原邮件From字段标识的地址；邮件指定退件地址(Return-path)，一般情况下，不添加Return-path字段，退信默认退到Sender标识的地址。当Sender和From一致时，退信默认退到From标识的地址；邮件传输路径(Received)，由每个中继服务站添加，用于帮助追踪传输中出现的错误。字段内容包括，发送、接收的主机和接收时间。

2、邮件正文信息：邮件正文内容；内容中的URL链接；内容中的IP地址；内容中的电话号码；内容中的银行账号；内容中的支付宝账号；内容中的二维码。

3、邮件附件信息；邮件附件名称；邮件附件文件；针对邮件附件文件进一步提取文件元数据，具体包括：文件类型、文件大小、文件MD5。

其中，基于上述信息建立邮件特征向量库，包括但不局限于：信誉特征、转发关系、流量特征。本发明支持基于多维度检测项对邮件进行检测；之后，***会根据各个检测项对应的权值，自动计算出一个权值总和。如果权值总和高于检测级别对应的权值，则***会将当前邮件判定为钓鱼邮件。

其中，具体涉及到的检测项包括但不局限于：邮件头、邮件正文、联动情报、邮件附件文件、敏感词。

作为优选的实施例，结合图5来看，图5为本发明提供的图4中步骤S403一实施例的流程示意图，上述步骤S403包括步骤S501至步骤S502，其中：

在步骤S501中，根据每个命中的所述元数据信息对应的权重和预设阈值的乘积，确定对应的权项分数；

在步骤S502中，将根据每个命中的所述元数据信息的权项分数之和，确定所述威胁权重。

在本发明实施例中，根据每个命中的元数据信息的权项分数之和，确定最终的威胁权重。

作为优选的实施例，结合图6来看，图6为本发明提供的图1中步骤S103一实施例的流程示意图，上述步骤S103包括步骤S601至步骤S603，其中：

在步骤S601中，根据所述检测级别，确定预设阈值；

在步骤S602中，若所述威胁权重大于或等于所述检测级别对应的预设阈值，则判定为钓鱼邮件，且触发告警上报；

在步骤S603中，若所述威胁权重小于所述检测级别对应的预设阈值，则判定为非钓鱼邮件。

在本发明实施例中，根据检测级别，确定不同的预设阈值，便于不同应用场景的灵活转换。

在本发明一个具体的实施例中，上述邮件检测项和检测级别的二维矩阵通过如下表1至表2表示(可以理解的是，表1和表2是其中的两个示例，具体二维矩阵的设置根据实际应用需求而改变，在此不做限定)：

表1

表2

其中，当一封邮件进行检测时依据敏感词匹配了邮件头，则得分100*0.15＝15分；继续匹配了威胁情报，则累计得分为：15+100*0.4＝55分；继续匹配了邮件附件正文，则累计得分为：55+100*0.25＝80；若算法配置为常规或宽松，则会判定为钓鱼邮件；若配置为严格，因为小于90的阈值，则判定为不是钓鱼邮件。

作为优选的实施例，上述特征向量库包括信誉特征库、转发关系库、流量特征库，所述并更新所述特征向量库，包括：

在本发明实施例中，基于邮件及邮件附件的元数据信息，及判决结果建立和完善邮件特征向量库模型，随着模型数据的累计，后续钓鱼邮件检测能力会越来越智能高效。电子邮件和附件的元数据，分别依据特征向量库模型进行更新。例如：

对于信誉特征，会将评估完的邮件情况(包括：钓鱼邮件、发送未知用户、是否拉黑等)更新到信誉特征库中。

对于转发关系，就是将邮件的转发关系信息更新，便于后面转发关系特征等其他模型判定使用；

对于流量特征，就是将邮件的流量统计情况更新，便于后面流量特征等其他模型判定使用。

作为优选的实施例，上述方法还包括：根据向量匹配结果，判断所述电子邮件流量是否钓鱼邮件。

在本发明实施例中，根据向量匹配结果，若匹配上，则直接根据向量匹配结果进行识别判断，保证灵活性和快速性。

下面以一个具体的实施例更清楚地说明本发明技术方案：

第一步，使用应用识别引擎对网络流量进行应用识别筛选出电子邮件流量；

第二步，协议解析引擎提取电子邮件流量的邮件元数据信息，并入库；若携带附件，则进一步提取邮件附件元数据信息，同样入库；

第三步，根据邮件及附件的元数据匹配特征向量库样本，包括但不局限模型：信誉特征、转发关系、流量特征；未匹配则进入第四步；否则直接依据匹配结果，进行判决输出；

第四步，依据配置的钓鱼邮件检测项、敏感词和检测级别，分别进行邮件头、邮件正文、联动情报、邮件附件文件检测；

第五步，依据表1或表2，针对检测情况输出一个威胁权值；

第六步，判决输出模块，判断威胁权值总和是否大于高于检测级别对应的权值；若否，则判定为非钓鱼邮件；若是，则判定为钓鱼邮件，则触发告警上报；

第七步，判决输出模块，针对判决结果进行日志输出，并将该邮件信息更新到特征向量库模型中，以便后续加快检测速度，形成一个反馈回路。

其中，需要进一步说明的是，针对特征向量库模型说明如下：

信誉特征，发送的每封电子邮件，IP地址都是电子邮件头部的一部分，收件人看不到；但本发明可以收集发件人的发送习惯数据，并建立与IP地址关联的信誉；其中习惯数据包括但不限于：垃圾邮件投诉(来源于钓鱼邮件判定结果)，发送量(从流量特征中获取)，发送给未知用户(从转发关系中获取)，行业黑名单(从威胁情报中获取)等等；依据习惯数据更新IP对应的信誉特征分值。

转发关系，是以发送者为视角，建立电子邮件发送者和接收者、抄送者和密送者的一种多维度转发关系表；以一位发送者为例，转发关系包括但不局限于：接收者信息列表、抄送者信息列表、密送者信息列表等；而接收者、抄送者和密送者信息包括但不限于：邮箱地址、IP地址、接收数量(邮件数量、附件数量，具体包括：总数量、最近1天、最近1个月、最近3个月、最近6个月、最近1年、最近2年和最近3年)、最近活跃时间等。

流量特征，是以发送者为视角，建立电子邮件发送者的流量特征数据库，具体包括但不限于：流量大小，流量速率，流量大小分段统计(包括：小于64字节、65-128字节、129-256字节、257-512字节、513-1024字节、1025-1514字节、大于1514字节等)，流量大小峰值、流量速率峰值等。

针对依据敏感词匹配邮件头、邮件正文和邮件附件文件，会依据：匹配敏感词个数/敏感词总个数>30％(模型可以配置，推荐采用)判定为匹配成功

本发明实施例还提供了一种钓鱼邮件攻击检测装置，结合图7来看，图7为本发明提供的钓鱼邮件攻击检测装置一实施例的结构示意图，钓鱼邮件攻击检测装置700包括：

获取单元701，用于获取电子邮件流量；

处理单元702，用于根据所述电子邮件流量的元数据信息在特征向量库中进行向量匹配和/或在配置监测项中进行配置项匹配，确定威胁权值；

判断单元703，用于根据所述威胁权值，判断所述电子邮件流量是否钓鱼邮件，并更新所述特征向量库。

钓鱼邮件攻击检测装置的各个单元的更具体实现方式可以参见对于上述钓鱼邮件攻击检测方法的描述，且具有与之相似的有益效果，在此不再赘述。

本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时，实现如上所述的钓鱼邮件攻击检测方法。

一般来说，用于实现本发明方法的计算机指令的可以采用一个或多个计算机可读的存储介质的任意组合来承载。非临时性计算机可读存储介质可以包括任何计算机可读介质，除了临时性地传播中的信号本身。

计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行***、装置或者器件使用或者与其结合使用。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言，特别是可以使用适于神经网络计算的Python语言和基于TensorFlow、PyTorch等平台框架。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

本发明实施例还提供了一种电子设备，结合图8来看，图8为本发明提供的电子设备一实施例的结构示意图，电子设备800包括处理器801、存储器802及存储在存储器802上并可在处理器801上运行的计算机程序，处理器801执行程序时，实现如上所述的钓鱼邮件攻击检测方法。

作为优选的实施例，上述电子设备800还包括显示器803，用于显示处理器801执行钓鱼邮件攻击检测方法后的数据处理结果。

示例性的，计算机程序可以被分割成一个或多个模块/单元，一个或者多个模块/单元被存储在存储器802中，并由处理器801执行，以完成本发明。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述计算机程序在电子设备800中的执行过程。例如，计算机程序可以被分割成多个单元，各单元的具体功能如上述各个子步骤所述，在此不一一赘述。

电子设备800可以是带可调摄像头模组的桌上型计算机、笔记本、掌上电脑或智能手机等设备。

其中，处理器801可能是一种集成电路芯片，具有信号的处理能力。上述的处理器801可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

其中，存储器802可以是，但不限于，随机存取存储器(Random Access Memory，RAM)，只读存储器(Read Only Memory，ROM)，可编程只读存储器(Programmable Read-OnlyMemory，PROM)，可擦除只读存储器(Erasable Programmable Read-Only Memory，EPROM)，电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory，EEPROM)等。其中，存储器802用于存储程序，所述处理器801在接收到执行指令后，执行所述程序，前述本发明实施例任一实施例揭示的流程定义的方法可以应用于处理器801中，或者由处理器801实现。

其中，显示器803可以是LCD显示屏，也可以是LED显示屏。例如，手机上的显示屏。

可以理解的是，图8所示的结构仅为电子设备800的一种结构示意图，电子设备800还可以包括比图8所示更多或更少的组件。图8中所示的各组件可以采用硬件、软件或其组合实现。

根据本发明上述实施例提供的计算机可读存储介质和电子设备，可以参照根据本发明实现如上所述的钓鱼邮件攻击检测方法具体描述的内容实现，并具有与如上所述的钓鱼邮件攻击检测方法类似的有益效果，在此不再赘述。

本发明公开了一种钓鱼邮件攻击检测方法、装置及***，首先，对电子邮件流量进行有效的获取；然后，对电子邮件流量的元数据信息进行有效地提取，通过特征向量库的匹配和/或配置项的匹配，确定对应的威胁权值，保证匹配手段的多样性，从而确保匹配结果的准确性；最后，基于威胁权值，识别其中的钓鱼邮件，并根据识别出的钓鱼邮件更新特征向量库，实现闭环学习和反馈，提高特征向量库的识别准确性和丰富性。

本发明技术方案，充分利用多维度检测项，可以灵活配置，形成配置监测项中的检测项和检测级别的二维矩阵，从而解决了钓鱼邮件检测无法根据公司安全管理员的配置自适应检测策略问题，能让公司安全管理员很好地平衡检测率和处理效率；本发明可以在不改变公司现有网络架构前提下，升级现有钓鱼邮件检测引擎，即可解决公司钓鱼邮件检测率低，算法配置灵活度不够问题，很大程度上可以提高公司安全管理员处理效率，降低公司运营成本，通过基于邮件及邮件附件的元数据信息建立邮件特征向量库，并基于多维度检测项对邮件进行深度检测，结合检测级别灵活配置，最大程度上提高钓鱼邮件检测率和处理性能。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。

Claims

1.一种钓鱼邮件攻击检测方法，其特征在于，包括：

获取电子邮件流量；

根据所述威胁权值，判断所述电子邮件流量是否钓鱼邮件，并更新所述特征向量库；

所述根据所述电子邮件流量的元数据信息在特征向量库中进行向量匹配和/或在配置监测项中进行配置项匹配，确定威胁权值，包括：

若匹配命中到所述特征向量库，则确定匹配结果；

若未匹配命中所述特征向量库，则在所述配置监测项中进行配置项匹配，确定威胁权值；

所述配置监测项包括邮件检测项、敏感词检测项和检测级别检测项，所述若未匹配命中所述特征向量库，则在所述配置监测项中进行配置项匹配，确定威胁权值，包括：

2.根据权利要求1所述的钓鱼邮件攻击检测方法，其特征在于，所述元数据信息包括邮件头信息、正文信息、联动情报、附件文件信息、敏感词信息，所述基于所述邮件检测项和所述检测级别的二维矩阵，根据所述元数据信息的检测结果，确定所述威胁权值，包括：

根据每个命中的所述元数据信息对应的权重，确定所述威胁权值。

3.根据权利要求2所述的钓鱼邮件攻击检测方法，其特征在于，所述根据每个命中的所述元数据信息对应的权重，确定所述威胁权值，包括：

根据每个命中的所述元数据信息的权项分数之和，确定所述威胁权值。

4.根据权利要求3所述的钓鱼邮件攻击检测方法，其特征在于，所述根据所述威胁权值，判断所述电子邮件流量是否钓鱼邮件，包括：

根据所述检测级别，确定预设阈值；

若所述威胁权值大于或等于所述检测级别对应的预设阈值，则判定为钓鱼邮件，且触发告警上报；

若所述威胁权值小于所述检测级别对应的预设阈值，则判定为非钓鱼邮件。

5.根据权利要求1所述的钓鱼邮件攻击检测方法，其特征在于，所述特征向量库包括信誉特征库、转发关系库、流量特征库，所述并更新所述特征向量库，包括：

6.根据权利要求1至5任一项所述的钓鱼邮件攻击检测方法，其特征在于，所述方法还包括：根据向量匹配结果，判断所述电子邮件流量是否钓鱼邮件。

7.一种钓鱼邮件攻击检测装置，其特征在于，包括：

获取单元，用于获取电子邮件流量；

判断单元，用于根据所述威胁权值，判断所述电子邮件流量是否钓鱼邮件，并更新所述特征向量库；

若匹配命中到所述特征向量库，则确定匹配结果；

8.一种钓鱼邮件攻击检测***，其特征在于，包括处理器，所述处理器用于执行根据权利要求1至6任一项所述的钓鱼邮件攻击检测方法。