邮件检测方法、装置、设备、系统及计算机可读存储介质转让专利
申请号 : CN201810497358.8
文献号 : CN110519150A
文献日 : 2019-11-29
发明人 : 陈瑞钦 , 郭开
申请人 : 深信服科技股份有限公司
摘要 :
本发明公开了一种邮件检测方法,包括:识别每个邮件的邮件类型;所述邮件类型包括安全邮件类型、危险邮件类型和潜在危险邮件类型;根据每个邮件的邮件类型,获取目标邮件的行为数据;利用预先设定的行为分析模型对所述行为数据进行分析检测,识别所述目标邮件中的异常邮件。可见,在本方案中,对邮件进行类型识别后,可通过预先设定的分析模型对邮件进行行为分析,从而根据邮件的行为数据识别邮件中的异常邮件,这种从多角度识别异常邮件的方式,可检测出更多潜在的安全漏洞,进一步提高邮件的安全性;本发明还公开了一种邮件检测装置、设备、系统及计算机可读存储介质,同样能实现上述技术效果。
权利要求 :
1.一种邮件检测方法,其特征在于,包括:
识别每个邮件的邮件类型;所述邮件类型包括安全邮件类型、危险邮件类型和潜在危险邮件类型;
根据每个邮件的邮件类型,获取目标邮件的行为数据;
利用预先设定的行为分析模型对所述行为数据进行分析检测,识别所述目标邮件中的异常邮件。
2.根据权利要求1所述的邮件检测方法,其特征在于,所述利用预先设定的行为分析模型对所述行为数据进行分析检测,识别所述目标邮件中的异常邮件,包括:根据所述目标邮件的登陆记录识别账号爆破行为,将所述目标邮件中与所述账号爆破行为对应的邮件确定为异常邮件;和/或,根据所述目标邮件的邮件发送记录识别群发邮件行为,将所述目标邮件中与所述群发邮件行为对应的邮件确定为异常邮件。
3.根据权利要求1所述的邮件检测方法,其特征在于,所述识别每个邮件的邮件类型之后,还包括:确定与所述潜在危险邮件类型对应的待查杀邮件;
将与所述待查杀邮件对应的检测对象信息发送至云查杀系统,以通过所述云查杀系统识别所述待查杀邮件中的异常邮件。
4.根据权利要求3所述的邮件检测方法,其特征在于,所述将与所述待查杀邮件对应的检测对象信息发送至云查杀系统,以通过所述云查杀系统识别所述待查杀邮件中的异常邮件,包括:将与所述待查杀邮件对应的账号信息、URL信息、附件信息及正文信息中的至少一者发送至所述云查杀系统,以通过所述云查杀系统识别所述待查杀邮件中的异常邮件。
5.根据权利要求4所述的邮件检测方法,其特征在于,所述云查杀系统识别所述待查杀邮件中的异常邮件,包括:识别所述账号信息中的源地址和/或目的地址是否为伪造地址,得到账号信息识别结果;和/或,识别所述URL信息中是否存在恶意类型的URL内容,得到URL识别结果;和/或,识别所述附件信息中是否存在恶意类型的附件,得到附件识别结果;和/或,识别所述正文信息中是否存在恶意的正文内容,得到正文识别结果;
根据所述账号信息识别结果、所述URL识别结果、所述附件识别结果、所述正文识别结果中的至少一者,识别异常邮件。
6.一种邮件检测装置,其特征在于,包括:
邮件类型识别模块,用于识别每个邮件的邮件类型;所述邮件类型包括安全邮件类型、危险邮件类型和潜在危险邮件类型;
行为数据获取模块,用于根据每个邮件的邮件类型,获取目标邮件的行为数据;
异常邮件识别模块,用于利用预先设定的行为分析模型对所述行为数据进行分析检测,识别所述目标邮件中的异常邮件。
7.根据权利要求6所述的邮件检测装置,其特征在于,所述异常邮件识别模块包括第一识别单元和/或第二识别单元;
所述第一识别单元,用于根据所述目标邮件的登陆记录识别账号爆破行为,将所述目标邮件中与所述账号爆破行为对应的邮件确定为异常邮件;
所述第二识别单元,用于根据所述目标邮件的邮件发送记录识别群发邮件行为,将所述目标邮件中与所述群发邮件行为对应的邮件确定为异常邮件。
8.根据权利要求6所述的邮件检测装置,其特征在于,还包括:待查杀邮件确定模块,用于确定与所述潜在危险邮件类型对应的待查杀邮件;
检测对象发送模块,将与所述待查杀邮件对应的检测对象信息发送至云查杀系统,以通过所述云查杀系统识别所述待查杀邮件中的异常邮件。
9.根据权利要求8所述的邮件检测装置,其特征在于,所述检测对象发送模块,具体用于将与所述待查杀邮件对应的账号信息、URL信息、附件信息及正文信息中的至少一者发送至所述云查杀系统,以通过所述云查杀系统识别所述待查杀邮件中的异常邮件。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述邮件检测方法的步骤。
11.一种邮件检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至5任一项所述邮件检测方法的步骤。
12.一种邮件检测系统,其特征在于,包括目标主机及云查杀服务器;所述目标主机包括如权利要求11所述的邮件检测设备;
所述云查杀服务器,用于识别所述目标主机发送的与潜在危险邮件类型对应的待查杀邮件中的异常邮件。
13.根据权利要求12所述的邮件检测系统,其特征在于,所述云查杀服务器具体用于:识别所述账号信息中的源地址和/或目的地址是否为伪造地址,得到账号信息识别结果;和/或,识别所述URL信息中是否存在恶意类型的URL内容,得到URL识别结果;和/或,识别所述附件信息中是否存在恶意类型的附件,得到附件识别结果;和/或,识别所述正文信息中是否存在恶意的正文内容,得到正文识别结果;根据所述账号信息识别结果、所述URL识别结果、所述附件识别结果、所述正文识别结果中的至少一者,识别异常邮件。
说明书 :
邮件检测方法、装置、设备、系统及计算机可读存储介质
技术领域
[0001] 本发明涉及邮件安全性检测技术领域,更具体地说,涉及一种邮件检测方法、装置、设备、系统及计算机可读存储介质。
背景技术
[0002] 目前,在日常商业活动中,存在大量的邮件信息收发行为,邮件是人与人沟通的重要媒介。从另一方便来说,邮件更是传播病毒和钓鱼信息的重要手段,一方面是由于邮件协议本身存在一定的安全性缺陷,另一方面邮件使用频率高,很容易被黑客盯上而成为攻击载体。当前网络上存在大量钓鱼欺诈病毒广告类邮件。据统计超过一半的勒索病毒是通过邮件进行传播,且钓鱼欺诈类邮件容易直接造成企业和用户的经济损失,邮件安全是当前面临的严峻问题。
[0003] 因此,如何对邮件进行检测,提高邮件的安全性,是本领域技术人员需要解决的问题。
发明内容
[0004] 本发明的目的在于提供一种邮件检测方法、装置、设备、系统及计算机可读存储介质,以对邮件进行检测,提高邮件的安全性。
[0005] 为实现上述目的,本发明实施例提供了如下技术方案:
[0006] 一种邮件检测方法,包括:
[0007] 识别每个邮件的邮件类型;所述邮件类型包括安全邮件类型、危险邮件类型和潜在危险邮件类型;
[0008] 根据每个邮件的邮件类型,获取目标邮件的行为数据;
[0009] 利用预先设定的行为分析模型对所述行为数据进行分析检测,识别所述目标邮件中的异常邮件。
[0010] 其中,所述利用预先设定的行为分析模型对所述行为数据进行分析检测,识别所述目标邮件中的异常邮件,包括:
[0011] 根据所述目标邮件的登陆记录识别账号爆破行为,将所述目标邮件中与所述账号爆破行为对应的邮件确定为异常邮件;和/或,
[0012] 根据所述目标邮件的邮件发送记录识别群发邮件行为,将所述目标邮件中与所述群发邮件行为对应的邮件确定为异常邮件。
[0013] 其中,所述识别每个邮件的邮件类型之后,还包括:
[0014] 确定与所述潜在危险邮件类型对应的待查杀邮件;
[0015] 将与所述待查杀邮件对应的检测对象信息发送至云查杀系统,以通过所述云查杀系统识别所述待查杀邮件中的异常邮件。
[0016] 其中,所述将与所述待查杀邮件对应的检测对象信息发送至云查杀系统,以通过所述云查杀系统识别所述待查杀邮件中的异常邮件,包括:
[0017] 将与所述待查杀邮件对应的账号信息、URL信息、附件信息及正文信息中的至少一者发送至所述云查杀系统,以通过所述云查杀系统识别所述待查杀邮件中的异常邮件。
[0018] 其中,所述云查杀系统识别所述待查杀邮件中的异常邮件,包括:
[0019] 识别所述账号信息中的源地址和/或目的地址是否为伪造地址,得到账号信息识别结果;和/或,识别所述URL信息中是否存在恶意类型的URL内容,得到URL识别结果;和/或,识别所述附件信息中是否存在恶意类型的附件,得到附件识别结果;和/或,识别所述正文信息中是否存在恶意的正文内容,得到正文识别结果;
[0020] 根据所述账号信息识别结果、所述URL识别结果、所述附件识别结果、所述正文识别结果中的至少一者,识别异常邮件。
[0021] 一种邮件检测装置,包括:
[0022] 邮件类型识别模块,用于识别每个邮件的邮件类型;所述邮件类型包括安全邮件类型、危险邮件类型和潜在危险邮件类型;
[0023] 行为数据获取模块,用于根据每个邮件的邮件类型,获取目标邮件的行为数据;
[0024] 异常邮件识别模块,用于利用预先设定的行为分析模型对所述行为数据进行分析检测,识别所述目标邮件中的异常邮件。
[0025] 其中,所述异常邮件识别模块包括第一识别单元和/或第二识别单元;
[0026] 所述第一识别单元,用于根据所述目标邮件的登陆记录识别账号爆破行为,将所述目标邮件中与所述账号爆破行为对应的邮件确定为异常邮件;
[0027] 所述第二识别单元,用于根据所述目标邮件的邮件发送记录识别群发邮件行为,将所述目标邮件中与所述群发邮件行为对应的邮件确定为异常邮件。
[0028] 其中,还包括:
[0029] 待查杀邮件确定模块,用于确定与所述潜在危险邮件类型对应的待查杀邮件;
[0030] 检测对象发送模块,将与所述待查杀邮件对应的检测对象信息发送至云查杀系统,以通过所述云查杀系统识别所述待查杀邮件中的异常邮件。
[0031] 其中,所述检测对象发送模块,具体用于将与所述待查杀邮件对应的账号信息、URL信息、附件信息及正文信息中的至少一者发送至所述云查杀系统,以通过所述云查杀系统识别所述待查杀邮件中的异常邮件。
[0032] 一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述邮件检测方法的步骤。
[0033] 一种邮件检测设备,其特征在于,包括:
[0034] 存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现如上述邮件检测方法的步骤。
[0035] 一种邮件检测系统,包括目标主机及云查杀服务器;所述目标主机包括上述的邮件检测设备;
[0036] 所述云查杀服务器,用于识别所述目标主机发送的与潜在危险邮件类型对应的待查杀邮件中的异常邮件。
[0037] 其中,所述云查杀服务器具体用于:
[0038] 识别所述账号信息中的源地址和/或目的地址是否为伪造地址,得到账号信息识别结果;和/或,识别所述URL信息中是否存在恶意类型的URL内容,得到URL识别结果;和/或,识别所述附件信息中是否存在恶意类型的附件,得到附件识别结果;和/或,识别所述正文信息中是否存在恶意的正文内容,得到正文识别结果;根据所述账号信息识别结果、所述URL识别结果、所述附件识别结果、所述正文识别结果中的至少一者,识别异常邮件。
[0039] 通过以上方案可知,本发明实施例提供的一种邮件检测方法,包括:识别每个邮件的邮件类型;所述邮件类型包括安全邮件类型、危险邮件类型、潜在危险邮件类型;根据每个邮件的邮件类型,获取目标邮件的行为数据;利用预先设定的行为分析模型对所述行为数据进行分析检测,识别所述目标邮件中的异常邮件。可见,在本方案中,对邮件进行类型识别后,可通过预先设定的分析模型对邮件进行行为分析,从而根据邮件的行为数据识别邮件中的异常邮件,这种从多角度识别异常邮件的方式,可检测出更多潜在的安全漏洞,进一步提高邮件的安全性;本发明还公开了一种邮件检测装置、设备、系统及计算机可读存储介质,同样能实现上述技术效果。
附图说明
[0040] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0041] 图1为本发明实施例公开的一种邮件检测方法流程示意图;
[0042] 图2为本发明实施例公开的邮件检测对象划分示意图;
[0043] 图3为本发明实施例公开的另一种邮件检测方法流程示意图;
[0044] 图4为本发明实施例公开的云查杀示意图;
[0045] 图5为本发明实施例公开的一种邮件检测装置结构示意图。
具体实施方式
[0046] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0047] 本发明实施例公开了一种邮件检测方法、装置、设备、系统及计算机可读存储介质,以对邮件进行检测,提高邮件的安全性。
[0048] 参见图1,本发明实施例提供的一种邮件检测方法,包括:
[0049] S101、识别每个邮件的邮件类型;所述邮件类型包括安全邮件类型、危险邮件类型和潜在危险邮件类型;
[0050] 具体的,本实施例中的识别每个邮件的邮件类型,具体指通过基于规则、黑白名单库以及内置杀软等方法对邮件进行检测,通过对邮件类型的识别,便可以识别出邮件的具体类型,该类型可以明显的将邮件分类,其中,安全邮件类型为符合白名单规则的安全的邮件,危险邮件类型为符合黑名单规则的异常邮件,潜在危险邮件类型包括可疑邮件类型和未知邮件类型,可疑邮件类型为存在可疑的邮件,具体可以理解为有可能存在安全隐患,但是又不属于危险邮件类型的邮件,未知邮件类型为上述类型之外的未知类型的邮件。
[0051] 上述检测方法能快速的识别出各邮件的大致类型,但是这类检测方法受限于人工提取的规则内容、黑白名单库的更新以及杀软内置病毒库的更新,导致无法对最新出现的威胁进行检测和响应,特别是针对鱼叉式定向钓鱼邮件以及最新出现的病毒类邮件检测能力明显缺乏。因此在本申请中,通过S102-S103可实现根据邮件行为数据对异常邮件的识别。
[0052] 需要说明的是,本方案对邮件类型进行识别之前,需要获取各个邮件的基础信息,具体来说,首先要提取每一封邮件的各个字段信息,审计的字段分4类:连接信息、协议命令信息、邮件头部信息、邮件正文和附件。
[0053] 其中,审计的字段主要有:
[0054] 1)连接信息:邮件的源IP、目的IP、协议类型、软件版本、端口号等;
[0055] 2)协议命令信息:帐号登录命令请求与响应、收发件人命令请求与响应、邮件操作命令请求与响应等;
[0056] 3)邮件头部信息:邮件发送日期、邮件主题、邮件收发件人、邮件正文类型等;
[0057] 4)邮件正文和附件:提取邮件正文内容,并单独存储邮件附件。
[0058] 进一步的,本方案在检测对象上,将邮件划分为5个检测对象,如图2所示,邮件被划分为5类检测对象,分别是邮件帐号、URL信息、邮件附件、邮件正文内容以及邮件收发行为,与邮件审计对应的字段关系如下:
[0059] 1)邮件帐号:连接信息中的源IP、目的IP,SMTP、POP3以及IMAP协议中的收发件人以及邮件登录帐号信息,还有邮件头部的收发件人等字段信息;
[0060] 2)URL信息:从邮件正文中提取的URL信息,或者从邮件正文中提取的潜在的URL信息;
[0061] 3)邮件附件:邮件附件;
[0062] 4)邮件正文内容:邮件正文内容;
[0063] 5)邮件收发行为:连接信息中的源IP、目的IP,命令信息中各类操作,例如邮件发送被拒、邮件删除和移动等操作,邮件头部的主题、收发件人信息等。
[0064] 本方案通过对邮件进行检测对象划分,可以显著提升检测装置的可扩展性和可维护性,专注于为各检测对象提升检测能力,并对检测结果快速响应,这种检测能力依赖于具体的检测对象使得此种检测架构拥有更高的灵活性。
[0065] 进而,对各个检测对象获取之后,便可以利用基于规则、黑白名单库以及内置杀软等方法对邮件进行检测,该检测方法与传统的邮件安全检测装置相似,从而实现对邮件的快速过滤,在检测出传统邮件安全装置能够检测出的问题同时,排除大部分正常邮件,为后续的检测提升检测效率。
[0066] S102、根据每个邮件的邮件类型,获取目标邮件的行为数据;
[0067] 具体的,本方案中的S102-S103可以通过设置时间间隔执行,例如设置时间间隔为3天,则间隔三天后便获取这三天内的行为数据。在获取行为数据时,需要确定要获取哪一部分的邮件的行为数据,因此在本实施例中,以每个邮件的邮件类型为依据对目标邮件进行选择性获取,在此并不具体限定目标邮件的选择方式;例如,在对账号爆破行为进行检测时,如果仅将登陆失败次数较高作为唯一判定标准,这时由于白名单类型的邮件可以理解为安全的邮件,黑名单类型邮件早已识别为异常邮件,即这两种类型的邮件已经不会存在安全隐患了,这时在识别账号爆破行为时,可设置为只获取潜在危险邮件类型的邮件的行为数据,即仅识别潜在危险邮件类型的邮件中是否存在异常邮件;但是,如果将登陆失败率作为标准,这时便需要获取安全邮件类型及危险邮件类型的邮件了。
[0068] S103、利用预先设定的行为分析模型对所述行为数据进行分析检测,识别所述目标邮件中的异常邮件。
[0069] 具体的,本方案中的分析模型是利用用户正常情况下使用邮箱所产生的行为数据所构建的,也就是说,该分析模型中存在的多维行为分析数据为用户标准的行为数据,例如:邮箱的登陆时间,邮箱的发送/接收邮件的频率,邮箱的常用登陆地址等等信息。通过将目标邮件的行为数据与该分析模型中的行为数据进行分析对比,便可以根据行为数据识别目标邮件中的异常邮件。相比于S101中对邮件类型的识别,通过行为数据对邮件的识别,可以从多种角度对异常邮件进行识别,从而增加了邮件的安全性。
[0070] 基于上述邮件检测方法的实施例,在本实施例中,所述利用预先设定的行为分析模型对所述行为数据进行分析检测,识别所述目标邮件中的异常邮件,具体包括:
[0071] 根据所述目标邮件的登陆记录识别账号爆破行为,将所述目标邮件中与所述账号爆破行为对应的邮件确定为异常邮件;和/或,
[0072] 根据所述目标邮件的邮件发送记录识别群发邮件行为,将所述目标邮件中与所述群发邮件行为对应的邮件确定为异常邮件。
[0073] 需要说明的是,分析模型可以检测出多种异常行为,例如检测账号爆破行为、群发邮件行为、登录时间异常行为、登陆地点异常行为等,在本实施例中仅以检测账号爆破行为及群发邮件行为为例进行描述。具体来说,根据目标邮件的登陆记录识别账号爆破行为时,具体是获取待检测邮件帐号过去一段时间内的登录失败次数、成功次数、尝试的密码信息等内容,并根据分析模型进行分析,如果该账号使用大量弱密码信息登录,且失败比例较高的可以识别为帐号爆破行为,从而将属于账号爆破行为的邮件都确定为异常邮件。
[0074] 进而,根据目标邮件的邮件发送记录识别群发邮件行为时,主要是通过分析每一个帐号过去一段时间内的发送邮件记录,具体包括发送成功、失败记录,邮件主题等信息进行统计分析,识别单个帐号群发邮件、多个帐号群发邮件等异常行为。可以理解的是,对于异常行为,可以将发送同一主题的邮件次数大于预定阈值判定为异常行为,可以将发送同一主题的失败率大于预定阈值判定为异常行为,还可以仅将发送失败率大于预定阈值判定为异常行为,在此并不具体限定,但是需要说明的是,对于识别多个账号的群发邮件来说,需要以同一主题为必要条件进行判定。
[0075] 可以看出,相比较于对单封邮件进行异常识别,在本实施例从异常行为角度出发,通过建模识别用户/主机过去一段时间的异常邮件,能够准确发现群发垃圾邮件、帐号爆破等行为,进一步增加了邮件的安全性。
[0076] 参见图3,为本发明实施例提供的另一种邮件检测方法,包括:
[0077] S201、识别每个邮件的邮件类型;所述邮件类型包括安全邮件类型、危险邮件类型和潜在危险邮件类型;
[0078] S202、根据每个邮件的邮件类型,获取目标邮件的行为数据;
[0079] S203、利用预先设定的行为分析模型对所述行为数据进行分析检测,识别所述目标邮件中的异常邮件;
[0080] 需要说明的是,本实施例中的S201-S203与上述方法实施例所述的S101-S103的内容相同,相关内容请参照上述实施例,在此便不进行赘述。
[0081] S204、确定与潜在危险邮件类型对应的待查杀邮件;
[0082] S205、将与所述待查杀邮件对应的检测对象信息发送至云查杀系统,以通过所述云查杀系统识别所述待查杀邮件中的异常邮件。
[0083] 具体的,由于仅仅在本地对邮件进行识别,会存在由于识别规则未更新而导致出现安全漏洞的问题,因此在本实施例中,利用云查杀技术,即将潜在危险邮件类型对应的邮件上传至云端,利用云端服务器强大的计算能力及最新丰富的检测标准对邮件进行查杀,从而尽可能的识别出异常邮件。
[0084] 需要说明的是,S204-S205与S202-S203为两种并行的检测方式,S202-S203为根据用户的行为数据识别异常邮件,而S204-S205为通过云查杀的方式识别异常邮件,当然,这两种方式也可以同时进行,也就是说,在本实施例中,可以通过S201作为第一层检测识别邮件类型的基础上,通过S202-S203作为第二层检测,利用行为数据识别异常邮件,进而通过S204-S205作为第三层检测,利用云查杀识别异常邮件,通过这三层检测过滤,从而最大程度地提升检测能力。
[0085] 在本实施例中,将与所述待查杀邮件对应的检测对象信息发送至云查杀系统,具体包括:将与所述待查杀邮件对应的账号信息、URL信息、附件信息及正文信息中的至少一者发送至所述云查杀系统;
[0086] 云查杀系统识别所述待查杀邮件中的异常邮件,包括:
[0087] 识别所述账号信息中的源地址和/或目的地址是否为伪造地址,得到账号信息识别结果;和/或,识别所述URL信息中是否存在恶意类型的URL内容,得到URL识别结果;和/或,识别所述附件信息中是否存在恶意类型的附件,得到附件识别结果;和/或,识别所述正文信息中是否存在恶意的正文内容,得到正文识别结果;
[0088] 根据所述账号信息识别结果、所述URL识别结果、所述附件识别结果、所述正文识别结果中的至少一者,识别异常邮件。
[0089] 具体的,在对邮件进行检测之前,已经确定了5类检测对象,分别是邮件帐号、URL信息、邮件附件、邮件正文内容以及邮件收发行为,其中邮件收发行为即S102-S103/S202-S203中的行为数据,另外4类检测对象即为本实施例中需要进行云查杀的与待查杀邮件对应的检测对象信息,当然,这4类检测对象信息并不是需要全部进行云查杀,需要根据邮件本身所包含的信息来确定,例如:邮件附件及邮件正文内容并不是全部邮件都包含的。
[0090] 参见图4,为本实施例提供的云查杀示意图,本方案可对邮件帐号、邮件正文中URL、邮件附件、邮件正文内容中的至少一者进行识别判断,并根据每项最终的结果来确定该邮件是否为异常邮件。具体来说:
[0091] 帐号云查杀:主要提供合法性检测,判断源IP、目的IP是否合法,鉴定是否存在伪造;
[0092] URL云查杀:主要通过获取URL内容,分析URL并归类,具体的类别有钓鱼、勒索、广告等类别;
[0093] 附件云查杀:对附件进行多引擎查杀,输出文件的类别;
[0094] 正文云查杀:针对可疑正文,使用模型进一步做语义和情感分析,输出正文的主题和恶意类型。
[0095] 综上可见,本实施例主要包括三层检测方式:第一层为传统的基于规则、黑白名单和内置杀软的检测,识别邮件的类型信息,第二层为行为分析检测,对各个帐号的收发件行为进行分析,提取特征,使用算法进行分析,并对检测结果进一步分析确认;第三层为云查杀检测,主要将邮件中可疑对象上传到云端进行分析检测;这三层过滤检测的方法可进行分析检测,各层检测能力相互独立,能够显著提升邮件安全检测能力。同时本方案将邮件按检测对象进行划分,便于针对不同检测对象进行检测能力开发和扩展,以及快速发布新的检测能力和进行安全事件响应,具有检测能力强、可扩展性好、易于维护等优点。
[0096] 下面对本发明实施例提供的邮件检测装置进行介绍,下文描述的邮件检测装置与上文描述的邮件检测方法可以相互参照。
[0097] 参见图5,本发明实施例提供的一种邮件检测装置,包括:
[0098] 邮件类型识别模块100,用于识别每个邮件的邮件类型;所述邮件类型包括安全邮件类型、危险邮件类型和潜在危险邮件类型;
[0099] 行为数据获取模块200,用于根据每个邮件的邮件类型,获取目标邮件的行为数据;
[0100] 异常邮件识别模块300,用于利用预先设定的行为分析模型对所述行为数据进行分析检测,识别所述目标邮件中的异常邮件。
[0101] 其中,所述异常邮件识别模块包括第一识别单元和/或第二识别单元;
[0102] 所述第一识别单元,用于根据所述目标邮件的登陆记录识别账号爆破行为,将所述目标邮件中与所述账号爆破行为对应的邮件确定为异常邮件;
[0103] 所述第二识别单元,用于根据所述目标邮件的邮件发送记录识别群发邮件行为,将所述目标邮件中与所述群发邮件行为对应的邮件确定为异常邮件。
[0104] 其中,本方案还包括:
[0105] 待查杀邮件确定模块,用于确定与所述潜在危险邮件类型对应的待查杀邮件;
[0106] 检测对象发送模块,将与所述待查杀邮件对应的检测对象信息发送至云查杀系统,以通过所述云查杀系统识别所述待查杀邮件中的异常邮件。
[0107] 其中,所述检测对象发送模块,具体用于将与所述待查杀邮件对应的账号信息、URL信息、附件信息及正文信息中的至少一者发送至所述云查杀系统,以通过所述云查杀系统识别所述待查杀邮件中的异常邮件。
[0108] 本实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述邮件检测方法的步骤。
[0109] 其中,该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
[0110] 本实施例还提供一种邮件检测设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现上述邮件检测方法的步骤。
[0111] 本实施例还提供一种邮件检测系统,包括目标主机及云查杀服务器;所述目标主机包括上述邮件检测设备;
[0112] 所述云查杀服务器,用于识别所述目标主机发送的与潜在危险邮件类型对应的待查杀邮件中的异常邮件。
[0113] 其中,所述云查杀服务器具体用于:识别所述账号信息中的源地址和/或目的地址是否为伪造地址,得到账号信息识别结果;和/或,识别所述URL信息中是否存在恶意类型的URL内容,得到URL识别结果;和/或,识别所述附件信息中是否存在恶意类型的附件,得到附件识别结果;和/或,识别所述正文信息中是否存在恶意的正文内容,得到正文识别结果;根据所述账号信息识别结果、所述URL识别结果、所述附件识别结果、所述正文识别结果中的至少一者,识别异常邮件。
[0114] 本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
[0115] 对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。