本发明专利技术公开了一种钓鱼邮件检测方法、装置、设备及计算机可读存储介质。该钓鱼邮件检测方法包括:获取待检测邮件,检测所述待检测邮件中是否包含附件;若所述待检测邮件中包含附件,则获取所述附件的文件属性类型;根据所述文件属性类型对所述附件进行检测,得到第一检测结果;根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件。本发明专利技术能够解决现有的钓鱼邮件检测结果的准确率较差的问题。
Detection method, device, equipment and computer readable storage medium of phishing mail
【技术实现步骤摘要】
钓鱼邮件检测方法、装置、设备及计算机可读存储介质
本专利技术涉及电子邮件检测
,尤其涉及一种钓鱼邮件检测方法、装置、设备及计算机可读存储介质。
技术介绍
附件钓鱼,是一种常见的钓鱼邮件攻击手段。黑客将精心伪造的携带病毒附件的邮件发送到受害者的邮箱服务器,诱导受害者接收并打开病毒附件,然后病毒自动执行控制受害者的机器。这些病毒附件往往还存在漏洞利用和横向传播等功能,一旦受害者主机失陷,会向整个内网扩散传播,最终导致整个网络瘫痪。针对携带病毒附件的钓鱼邮件,当前常见的防护措施主要是在邮件入口处部署病毒邮件网关或附件沙箱。其中,病毒邮件网关对一些新的病毒附件或脚本类病毒附件往往无能为力,因为病毒网关的病毒库更新存在时效性问题,黑客在构造钓鱼附件时往往会对常见的病毒网关做免杀处理,从而使得钓鱼附件容易被绕过。而附件沙箱的方式存在处理速度低的问题,沙箱的检测需要频繁创建和销毁执行环境,所以查杀速度受限。此外,由于目前很多病毒具备反调试技术、反沙箱技术,导致无法准确识别出病毒附件、造成漏检的情况。因此,现有的钓鱼邮件检测方法存在漏检的情况,检测结果的准确率较差。
技术实现思路
本专利技术的主要目的在于提供一种钓鱼邮件检测方法、装置、设备及计算机可读存储介质,旨在解决现有的钓鱼邮件检测结果的准确率较差的问题。为实现上述目的,本专利技术提供一种钓鱼邮件检测方法,所述钓鱼邮件检测方法包括:获取待检测邮件,检测所述待检测邮件中是否包含附件;若所述待检测邮件中包含附件,则获取所述附件的文件属性类型;根据所述文件属性类型对所述附件进行检测,得到第一检测结果;根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件。可选地,所述检测所述待检测邮件中是否包含附件的步骤包括:基于预设过滤规则对所述待检测邮件进行过滤处理,检测经过滤处理的待检测邮件中是否包含附件;其中,所述预设过滤规则包括以下至少一种:过滤邮件协议为预设邮件协议的待检测邮件,过滤源网际互连协议IP地址和目的IP地址不符合第一预设条件的待检测邮件,过滤发件人域名属于预设白名单域名列表的待检测邮件。可选地,若所述文件属性类型为办公文档,所述根据所述文件属性类型对所述附件进行检测,得到第一检测结果的步骤包括:检测所述附件中是否包含宏对象,得到第一检测子结果。可选地,若所述文件属性类型为可移植的执行体PE文件,所述根据所述文件属性类型对所述附件进行检测,得到第一检测结果的步骤包括:检测所述附件中是否存在预设特征字段块,得到第二检测子结果。可选地,若所述文件属性类型为除办公文档和PE文件外的其他类型,所述根据所述文件属性类型对所述附件进行检测,得到第一检测结果的步骤包括:获取所述待检测邮件的邮件协议,并通过预设匹配规则获取所述邮件协议中的文件属性字段;检测所述文件属性字段对应内容与所述附件的文件属性类型是否匹配,得到第三检测子结果。可选地,所述根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件的步骤之前,还包括:获取所述附件的附件名,检测所述附件名是否符合第二预设条件,得到第二检测结果;其中,所述第二预设条件包括以下至少一种:附件名中不包含中文,附件名中包含第一预设词,附件名的后缀为预设后缀;所述根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件的步骤包括:根据所述第一检测结果和所述第二检测结果判断所述待检测邮件是否为钓鱼邮件。可选地,所述根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件的步骤之前,还包括:获取所述待检测邮件的主题名,检测所述主题名是否符合第三预设条件,得到第三检测结果;其中,所述第三预设条件包括以下至少一种:主题名中不存在预设特定字符,主题名与附件名不一致,主题名中包含第二预设词;所述根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件的步骤包括:根据所述第一检测结果和所述第三检测结果判断所述待检测邮件是否为钓鱼邮件。此外,为实现上述目的,本专利技术还提供一种钓鱼邮件检测装置,所述钓鱼邮件检测装置包括:第一检测模块,用于获取待检测邮件,检测所述待检测邮件中是否包含附件;获取模块,用于若所述待检测邮件中包含附件,则获取所述附件的文件属性类型;第二检测模块,用于根据所述文件属性类型对所述附件进行检测,得到第一检测结果;判断模块,用于根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件。此外,为实现上述目的,本专利技术还提供一种钓鱼邮件检测设备,所述钓鱼邮件检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的钓鱼邮件检测程序,所述钓鱼邮件检测程序被所述处理器执行时实现如上所述的钓鱼邮件检测方法的步骤。此外,为实现上述目的,本专利技术还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有钓鱼邮件检测程序,所述钓鱼邮件检测程序被处理器执行时实现如上所述的钓鱼邮件检测方法的步骤。本专利技术提供一种钓鱼邮件检测方法、装置、设备及计算机可读存储介质,通过获取待检测邮件,检测待检测邮件中是否包含附件;若待检测邮件中包含附件,则获取附件的文件属性类型;根据文件属性类型对附件进行检测,得到第一检测结果;根据第一检测结果判断待检测邮件是否为钓鱼邮件。本专利技术实施例中,从特殊附件格式的维度切入,可直接根据附件的文件属性类型对待检测邮件进行快速检测,以判断待检测邮件是否为钓鱼邮件,相比于现有技术中的附件沙箱的方式,本专利技术实施例无需频繁创建和销毁执行环境,因而可提高处理速度。同时,相比于现有技术中的病毒邮件网关的方式,本专利技术实施例中不存在病毒库更新时效性的问题,提升了对钓鱼附件的检测和感知能力,覆盖病毒网关设备的检测盲点,从而可避免漏检的情况,提高检测结果的准确率。附图说明图1为本专利技术实施例方案涉及的硬件运行环境的设备结构示意图;图2为本专利技术钓鱼邮件检测方法第一实施例的流程示意图;图3为本专利技术钓鱼邮件检测装置第一实施例的功能模块示意图。本专利技术目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。具体实施方式应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。参照图1,图1为本专利技术实施例方案涉及的硬件运行环境的设备结构示意图。本专利技术实施例钓鱼邮件检测设备可以是服务器,也可以是PC(PersonalComputer,个人计算机)、平板电脑、便携计算机等终端设备。如图1所示,该钓鱼邮件检测设备可以包括:处理器1001,例如CPU,通信总线1002,用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网本文档来自技高网...
【技术保护点】
1.一种钓鱼邮件检测方法,其特征在于,所述钓鱼邮件检测方法包括:/n获取待检测邮件,检测所述待检测邮件中是否包含附件;/n若所述待检测邮件中包含附件,则获取所述附件的文件属性类型;/n根据所述文件属性类型对所述附件进行检测,得到第一检测结果;/n根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件。/n
【技术特征摘要】
1.一种钓鱼邮件检测方法,其特征在于,所述钓鱼邮件检测方法包括:
获取待检测邮件,检测所述待检测邮件中是否包含附件;
若所述待检测邮件中包含附件,则获取所述附件的文件属性类型;
根据所述文件属性类型对所述附件进行检测,得到第一检测结果;
根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件。
2.如权利要求1所述的钓鱼邮件检测方法,其特征在于,所述检测所述待检测邮件中是否包含附件的步骤包括:
基于预设过滤规则对所述待检测邮件进行过滤处理,检测经过滤处理的待检测邮件中是否包含附件;
其中,所述预设过滤规则包括以下至少一种:
过滤邮件协议为预设邮件协议的待检测邮件,过滤源网际互连协议IP地址和目的IP地址不符合第一预设条件的待检测邮件,过滤发件人域名属于预设白名单域名列表的待检测邮件。
3.如权利要求1所述的钓鱼邮件检测方法,其特征在于,若所述文件属性类型为办公文档,所述根据所述文件属性类型对所述附件进行检测,得到第一检测结果的步骤包括:
检测所述附件中是否包含宏对象,得到第一检测子结果。
4.如权利要求1所述的钓鱼邮件检测方法,其特征在于,若所述文件属性类型为可移植的执行体PE文件,所述根据所述文件属性类型对所述附件进行检测,得到第一检测结果的步骤包括:
检测所述附件中是否存在预设特征字段块,得到第二检测子结果。
5.如权利要求1所述的钓鱼邮件检测方法,其特征在于,若所述文件属性类型为除办公文档和PE文件外的其他类型,所述根据所述文件属性类型对所述附件进行检测,得到第一检测结果的步骤包括:
获取所述待检测邮件的邮件协议,并通过预设匹配规则获取所述邮件协议中的文件属性字段;
检测所述文件属性字段对应内容与所述附件的文件属性类型是否匹配,得到第三检测子结果。
6.如权利要求1至5中任一项所述的钓鱼邮件检测方法,其特征在于,所述根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件的步骤之前...
【专利技术属性】
技术研发人员:杨玉华,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。