本公开涉及信息安全领域,特别是涉及一种恶意邮件检测方法、装置、存储介质及电子设备。该方法包括:将待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件均作为检测目标;对每一检测目标分别进行对应的若干信息异常检测处理,得到每一信息异常检测处理对应的检测结果;如果若干检测结果满足第一预设条件,则将待检测邮件确定为恶意邮件。由此,本公开中对恶意邮件的检测是基于对待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件的检测进行的,进而可以对待检测邮件进行更全面的检测,以提高恶意邮件检测的检测准确度。件检测的检测准确度。件检测的检测准确度。
【技术实现步骤摘要】
一种恶意邮件检测方法、装置、存储介质及电子设备
[0001]本公开涉及信息安全领域,特别是涉及一种恶意邮件检测方法、装置、存储介质及电子设备。
技术介绍
[0002]目前攻击者会通过发送恶意邮件的手段获取恶意邮件接收方的一些保密信息,因此检测电子邮件是否为恶意邮件是十分必要的。
[0003]在检测电子邮件的过程中,一方面是检测电子邮件中是否包括恶意文件、病毒或木马等恶意信息,若包括,则该电子邮件确定为恶意邮件。另一方面是检测电子邮件的正文内容中的嵌套信息,以将嵌套信息为恶意信息的电子邮件确定为恶意邮件。
[0004]但是,攻击者通过电子邮件进行攻击的攻击策略是较为多样化的,进而电子邮件中被攻击者恶意修改的信息的位置是难以准确定位的,仅通过对电子邮件的附件和正文内容进行恶意信息检测以确定电子邮件是否为恶意邮件是较为片面的,因此恶意邮件检测的检测准确度较低。
技术实现思路
[0005]针对上述恶意邮件检测的检测准确度较低的技术问题,本公开采用的技术方案为:
[0006]根据本公开的一方面,提供了一种恶意邮件检测方法,包括:
[0007]将待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件均作为检测目标。
[0008]对每一检测目标分别进行对应的若干信息异常检测处理,得到每一信息异常检测处理对应的检测结果。
[0009]如果若干检测结果满足第一预设条件,则将待检测邮件确定为恶意邮件。
[0010]根据本公开的另一方面,还提供了一种恶意邮件检测装置,包括:
[0011]解析模块,用于将待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件均作为检测目标。
[0012]检测模块,用于对每一检测目标分别进行对应的若干信息异常检测处理,得到每一信息异常检测处理对应的检测结果。
[0013]确定模块,用于在若干检测结果满足第一预设条件时,将待检测邮件确定为恶意邮件。
[0014]根据本公开的另一方面,还提供了一种非瞬时性计算机可读存储介质,存储介质中存储有至少一条指令或至少一段程序,至少一条指令或至少一段程序由处理器加载并执行以实现上述恶意邮件检测方法。
[0015]根据本公开的另一方面,还提供了一种电子设备,包括处理器和上述非瞬时性计算机可读存储介质。
[0016]本公开的实施例提供的技术方案可以包括以下有益效果:
[0017]本公开中通过对待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件分别进行对应的若干信息异常检测处理,并通过每一信息异常检测处理对应的检测结果确定待检测邮件是否为恶意邮件。相比于仅通过对电子邮件的附件和正文内容进行恶意信息检测以确定电子邮件是否为恶意邮件,本公开中对恶意邮件的检测是基于对待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件的检测进行的,即本公开中对恶意邮件的检测是基于待检测邮件的更多部分的信息进行的,进而可以对待检测邮件进行更全面的检测,以提高恶意邮件检测的检测准确度。
[0018]应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
[0019]为了更清楚地说明本公开实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图;此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
[0020]图1是根据一示例性实施例示出的恶意邮件检测方法的流程图。
[0021]图2是根据一示例性实施例示出的恶意邮件检测装置的示意性框图。
具体实施方式
[0022]下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
[0023]本公开实施例提供了一种恶意邮件检测方法,其中,该方法可以由以下任意一项或其任意组合完成:服务器、其他具备处理能力的设备,本公开实施例对此不作限定。
[0024]本公开实施例以服务器为例,下面将参照图1所示的恶意邮件检测方法的流程图,对恶意邮件检测方法进行介绍。
[0025]该方法包括以下步骤:
[0026]S100,将待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件均作为检测目标。
[0027]具体的,待检测邮件为电子邮件。例如,待检测邮件为通过smtp(SimpleMailTransfer Protocol,简单邮件传输协议)发送的电子邮件。
[0028]上述步骤S100的一种具体的实施方式可以为,服务器可以获取待检测邮件,然后对待检测邮件进行解析和拆分。若待检测邮件具有邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件,则服务器将拆分得到的待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件均作为
检测目标;若待检测邮件不具有邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件中的任一,则服务器将拆分得到的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件这五个数据信息中,待检测邮件具有的每一数据信息均作为检测目标。
[0029]S200,对每一检测目标分别进行对应的若干信息异常检测处理,得到每一信息异常检测处理对应的检测结果。
[0030]上述步骤S200的一种具体的实施方式可以为,在服务器得到若干检测目标后,对每一检测目标均进行其对应的若干信息异常检测处理,以得到每一检测目标对应的若干检测结果,其中,一个检测结果与一个信息异常检测处理一一对应。
[0031]S300,如果若干检测结果满足第一预设条件,则将待检测邮件确定为恶意邮件。
[0032]上述步骤S300的一种具体的实施方式可以为,如果若干检测结果中表示对应的检测目标异常的检测结果的数量大于预设的数量,则将该待检测邮件确定为恶意邮件。预设的数量可以根据待检测邮件对应的信息异常检测处理的总数得到,例如,预设的数量为待检测邮件对应的信息异常检测处理的总数的三分之一。
[0033]由此可知,本公开中通过对待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件分别进行对应的若干信息异常检测处理,并通过每一信息异常检测处理对应的检测结果确定待检测邮件是否为恶意邮件。相比于仅通过对电子邮件的附件和正文内容进行恶意信息检测以确本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意邮件检测方法,其特征在于,所述方法包括:将待检测邮件的邮件头、邮件标题、邮件正文的文字部分、邮件正文的超文本标记语言部分和邮件附件均作为检测目标;对每一所述检测目标分别进行对应的若干信息异常检测处理,得到每一所述信息异常检测处理对应的检测结果;如果若干所述检测结果满足第一预设条件,则将所述待检测邮件确定为恶意邮件。2.根据权利要求1所述的方法,其特征在于,所述如果若干所述检测结果满足第一预设条件,则将所述待检测邮件确定为恶意邮件,包括:如果若干所述检测结果满足第二预设条件,则获取收件方服务器在预设时间段内接收到的与所述待检测邮件符合预设相似条件的邮件的数量作为目标数量;所述收件方服务器为所述待检测邮件对应的收件方的服务器;如果若干所述检测结果满足若干第三预设条件中的任一或所述目标数量达到第一预设数量,则将所述待检测邮件确定为恶意邮件。3.根据权利要求2所述的方法,其特征在于,所述获取收件方服务器在预设时间段内接收到的与所述待检测邮件符合预设相似条件的邮件的数量作为目标数量,包括:获取收件方服务器在预设时间段内接收到的,且邮件信息与所述待检测邮件的邮件信息相同的邮件的数量作为目标数量;所述邮件信息包括发件地址信息、发件方名称、收件方名称、代理服务器的服务器标识、邮件标题和/或邮件正文内容信息。4.根据权利要求2所述的方法,其特征在于,每一所述信息异常检测处理具有对应的信息异常预设条件;所述检测结果为异常标识或正常标识;所述异常标识用于表示对应的检测目标满足该异常标识对应的信息异常预设条件,所述正常标识用于表示对应的检测目标不满足该正常标识对应的信息异常预设条件;所述如果若干所述检测结果满足第二预设条件,包括:如果为异常标识的检测结果的数量达到第二预设数量。5.根据权利要求4所述的方法,其特征在于,所述邮件头对应的若干信息异常检测处理至少用于执行以下步骤:确定所述邮件头中的发件方名称中是否包括预设的第一关键词;若是,则将对应的检测结果确定为所述异常标识,否则,将对应的检测...
【专利技术属性】
技术研发人员:张佳,马森,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。