本申请涉及一种基于行为识别的钓鱼邮件检测方法、电子装置和存储介质。该基于行为识别的钓鱼邮件检测方法包括:获取待检测邮件的内容中的链接,并对链接进行过滤处理,得到第一链接;在预设虚拟运行系统中访问第一链接,得到行为特征数据;在行为特征数据中检测恶意行为特征数据,并根据恶意行为特征数据确定待检测邮件是否为钓鱼邮件。通过本申请,解决了相关技术中通过静态检测识别钓鱼邮件存在误报和漏报率高的问题,实现了降低链接检测的误报率和漏报率,提高钓鱼邮件中恶意链接的检出率的有益效果。
【技术实现步骤摘要】
基于行为识别的钓鱼邮件检测方法、电子装置及介质
本申请涉及计算机
,特别是涉及基于行为识别的钓鱼邮件检测方法、电子装置及存储介质。
技术介绍
钓鱼邮件主要是在邮件中呈现具有误导性质的链接,该链接指向恶意网页,点击了邮件中的链接并输入密码或者隐私信息,就会造成隐私泄露。随着技术的发展,尤其是钓鱼邮件技术的不断改进,通常恶意攻击者会在钓鱼邮件中植入恶意链接以引诱受害者点击触发钓鱼攻击。现有中实现对钓鱼邮件检测的方案是通过提取邮件的特征向量,然后根据特征向量在向量机模型(SVM)中进行钓鱼邮件的识别,同时,现有中还有采用对邮件的链接特征进行检测,并在分类模型对检测出的链接特征进行类型检测而识别出钓鱼邮件的方案。现有相关技术中,对于钓鱼邮件的检测只是对邮件中的链接进行特征向量检测,而特征向量检测属于静态检测,通过静态检测识别钓鱼邮件存在误报和漏报率高的不足。目前针对相关技术中通过静态检测识别钓鱼邮件存在误报和漏报率高的问题,尚未提出有效的解决方案。
技术实现思路
本申请实施例提供了一种基于行为识别的钓鱼邮件检测方法、电子装置及存储介质,以至少解决相关技术中通过静态检测识别钓鱼邮件存在误报和漏报率高的问题。第一方面,本申请实施例提供了一种基于行为识别的钓鱼邮件检测方法,包括:获取待检测邮件的内容中的链接,并对所述链接进行过滤处理,得到第一链接;在预设虚拟运行系统中访问所述第一链接,得到行为特征数据,其中,所述行为特征数据包括在所述虚拟运行系统中所述第一链接触发的操作行为;在所述行为特征数据中检测恶意行为特征数据,并根据所述恶意行为特征数据确定所述待检测邮件是否为钓鱼邮件。在其中一些实施例中,在所述行为特征数据中检测恶意行为特征数据,并根据所述恶意行为特征数据确定所述待检测邮件是否为钓鱼邮件包括:在所述行为特征数据中检测与预设恶意行为特征数据对应的所述恶意行为特征数据,其中,所述恶意行为特征数据包括恶意行为和恶意行为类别,所述恶意行为类别包括恶意回连、恶意下载、恶意调用和恶意修改;在威胁等级表中查询检测出的所述恶意行为的威胁等级,其中,所述威胁等级表包括恶意行为的恶意行为类别与该恶意行为的威胁等级的对应关系;判断所述恶意行为中是否具有威胁等级为高危等级的所述恶意行为,并在判断到所述恶意行为中具有威胁等级为高危等级的所述恶意行为的情况下,确实所述待检测邮件为钓鱼邮件。在其中一些实施例中,在判断所述恶意行为中没有威胁等级为高危等级的所述恶意行为情况下,所述方法还包括:在所述恶意行为特征数据中检测每一类所述恶意行为类别中所述恶意行为的项数;判断每一类所述恶意行为类别中所述恶意行为的项数是否大于预设阈值;在判断到至少有一类所述恶意行为类别中的所述恶意行为的项数大于预设阈值的情况下,确定所述待检测邮件为钓鱼邮件。在其中一些实施例中,在预设虚拟运行系统中动态访问所述第一链接,得到行为特征数据包括:在沙箱系统中联网访问所述第一链接,得到所述行为特征数据。在其中一些实施例中,获取待检测邮件的内容中的链接包括:获取所述待检测邮件;根据多用途互联网邮件扩展类型标准对所述待检测邮件进行解析,得到所述待检测邮件的发件人邮箱域名和所述待检测邮件的内容;提取所述待检测邮件的内容中的链接,得到所述待检测邮件的内容中的链接。在其中一些实施例中,获取所述待检测邮件包括:在网络流量中提取邮件数据流,其中,所述邮件数据流至少包括:POP协议的数据流,SMTP协议的数据流,IMAP协议的数据流;对所述邮件数据流进行解析,进而得到邮件格式的待检测邮件;或者,在邮件格式的文件中读取所述待检测邮件。在其中一些实施例中,提取所述待检测邮件的内容中的链接包括:判断所述待检测邮件的格式类型;其中,所述格式类型包括HTML格式类型和文本格式类型;在判断到所述待检测邮件的所述格式类型为HTML格式类型的情况下,根据HTML标准提取超链接中的链接和area标签中的链接,并将所述超链接中的链接和所述area标签中的链接作为所述待检测邮件的内容中的链接;在判断到所述待检测邮件的所述格式类型为文本格式类型的情况下,采用正则表达式提取所述待检测邮件的内容中的链接。在其中一些实施例中,对所述链接进行过滤处理包括:在所述链接中过滤出与自身邮件白名单中的域名不同的域名所对应的链接,得到第一过滤后的链接;在所述第一过滤后的链接中过滤出与预设域名白名单中的域名不同的域名所对应的链接,得到第二过滤后的链接,并将与所述预设域名白名单中的域名相同的域名保存至所述自身邮件白名单;在所述第二过滤后的链接中过滤出与Alexa白名单中的域名不同的域名所对应的链接,得到第三过滤后的链接,并将与所述Alexa白名单中的域名相同的域名保存至所述自身邮件白名单;在所述第三过滤后的链接中过滤出与所述发件人邮箱域名不同的域名所对应的链接,得到所述第一链接,并将与所述发件人邮箱域名相同的域名和所述第一链接的域名保存至所述自身邮件白名单。第二方面,本申请实施例提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行第一方面所述的基于行为识别的钓鱼邮件检测方法。第三方面,本申请实施例提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行第一方面所述的基于行为识别的钓鱼邮件检测方法。相比于相关技术,本申请实施例提供的一种基于行为识别的钓鱼邮件检测方法、电子装置及存储介质,通过获取待检测邮件的内容中的链接,并对链接进行过滤处理,得到第一链接;在预设虚拟运行系统中访问第一链接,得到行为特征数据;在行为特征数据中检测恶意行为特征数据,并根据恶意行为特征数据确定待检测邮件是否为钓鱼邮件。通过本申请,解决了相关技术中通过静态检测识别钓鱼邮件存在误报和漏报率高的问题,实现了降低链接检测的误报率和漏报率,提高钓鱼邮件中恶意链接的检出率的有益效果。本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。附图说明此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:图1是本专利技术实施例的基于行为识别的钓鱼邮件检测方法的终端的硬件结构框图;图2是根据本申请实施例的基于行为识别的钓鱼邮件检测方法的流程图;图3是根据本申请实施例的基于行为识别的钓鱼邮件检测装置的结构框图。具体实施方式为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。显而易见地,下面描述中的附图仅本文档来自技高网...
【技术保护点】
1.一种基于行为识别的钓鱼邮件检测方法,其特征在于,包括:/n获取待检测邮件的内容中的链接,并对所述链接进行过滤处理,得到第一链接;/n在预设虚拟运行系统中访问所述第一链接,得到行为特征数据,其中,所述行为特征数据包括在所述虚拟运行系统中所述第一链接触发的操作行为;/n在所述行为特征数据中检测恶意行为特征数据,并根据所述恶意行为特征数据确定所述待检测邮件是否为钓鱼邮件。/n
【技术特征摘要】
1.一种基于行为识别的钓鱼邮件检测方法,其特征在于,包括:
获取待检测邮件的内容中的链接,并对所述链接进行过滤处理,得到第一链接;
在预设虚拟运行系统中访问所述第一链接,得到行为特征数据,其中,所述行为特征数据包括在所述虚拟运行系统中所述第一链接触发的操作行为;
在所述行为特征数据中检测恶意行为特征数据,并根据所述恶意行为特征数据确定所述待检测邮件是否为钓鱼邮件。
2.根据权利要求1所述的基于行为识别的钓鱼邮件检测方法,其特征在于,在所述行为特征数据中检测恶意行为特征数据,并根据所述恶意行为特征数据确定所述待检测邮件是否为钓鱼邮件包括:
在所述行为特征数据中检测与预设恶意行为特征数据对应的所述恶意行为特征数据,其中,所述恶意行为特征数据包括恶意行为和恶意行为类别,所述恶意行为类别包括恶意回连、恶意下载、恶意调用和恶意修改;
在威胁等级表中查询检测出的所述恶意行为的威胁等级,其中,所述威胁等级表包括恶意行为的恶意行为类别与该恶意行为的威胁等级的对应关系;
判断所述恶意行为中是否具有威胁等级为高危等级的所述恶意行为,并在判断到所述恶意行为中具有威胁等级为高危等级的所述恶意行为的情况下,确实所述待检测邮件为钓鱼邮件。
3.根据权利要求2所述的基于行为识别的钓鱼邮件检测方法,其特征在于,在判断所述恶意行为中没有威胁等级为高危等级的所述恶意行为情况下,所述方法还包括:
在所述恶意行为特征数据中检测每一类所述恶意行为类别中所述恶意行为的项数;
判断每一类所述恶意行为类别中所述恶意行为的项数是否大于预设阈值;
在判断到至少有一类所述恶意行为类别中的所述恶意行为的项数大于预设阈值的情况下,确定所述待检测邮件为钓鱼邮件。
4.根据权利要求1所述的基于行为识别的钓鱼邮件检测方法,其特征在于,在预设虚拟运行系统中动态访问所述第一链接,得到行为特征数据包括:在沙箱系统中联网访问所述第一链接,得到所述行为特征数据。
5.根据权利要求1所述的基于行为识别的钓鱼邮件检测方法,其特征在于,获取待检测邮件的内容中的链接包括:
获取所述待检测邮件;
根据多用途互联网邮件扩展类型标准对所述待检测邮件进行解析,得到所述待检测邮件的发件人邮箱域名和所述待检测邮件的内容;
提取所述待检测邮件的内容中的链接,得到所述待检测邮...
【专利技术属性】
技术研发人员:陆嘉杰,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。