This application provides a spam source detection method and device. The method includes: determining mail session information of at least one mail source, in which a mail session information includes mail parameter information of a mail source when sending and receiving mail. Then, according to the mail session information of each mail source, the mail source is scored to get the score information of the mail source. Then, according to the score information of each mail source, the spam source in at least one of the above-mentioned mail sources is determined. In this scheme, by acquiring the mail parameter information generated by a mail source in the network traffic and scoring a mail source through the mail parameter information generated, the scoring information can reflect the possibility that the mail source is a spam source. Through this scoring information, we can determine whether a mail source is a spam source or not, and through the parameters. The method of information detection for mail source does not need to detect the content of mail, so it is more accurate and efficient.
【技术实现步骤摘要】
一种垃圾邮件源检测方法及装置
本申请涉及网络安全领域,尤其涉及一种垃圾邮件源检测方法及装置。
技术介绍
邮件是现在的一种主流交流方式,但是人们在使用邮件交流时,也会接收到一些垃圾邮件,这些垃圾邮件可能是推广广告,也可能是一些钓鱼邮件或者是传播病毒的邮件。目前,有一种基于邮件内容去检测邮件是否为垃圾邮件的方法,若检测到用户接收到的邮件为垃圾邮件,则直接拦截该邮件或者删除该邮件,又或者向用户发出告警,以提醒用户接收到的邮件为垃圾邮件。但是,基于邮件内容去检测邮件,一方面由于邮件内容变化比较大,对邮件内容进行检测即需要大量的时间而且准确度低,另一方面,基于邮件内容去检测邮件,用户的一些隐私会受到侵犯。
技术实现思路
本申请提供一种垃圾邮件源检测方法及装置,用以更高效准确地确定发送邮件的邮件源是否为垃圾邮件源,从而更高效准确地封禁垃圾邮件源的互联网协议地址(InternetProtocol,IP)。第一方面,本申请提供一种垃圾邮件源检测方法,包括:确定至少一个邮件源的邮件会话信息,其中,一个邮件会话信息包括一个邮件源在收发邮件时的邮件参数信息。然后根据每个邮件源的邮件会话信息,对邮件源进行评分,得到邮件源的分数信息,之后根据各个邮件源的分数信息,确定上述至少一个邮件源中的垃圾邮件源。该方案中,通过获取网络流量中一个邮件源在收发邮件时产生的邮件参数信息,通过产生的邮件参数信息对一个邮件源进行评分,评分得到的分数信息可以反映该邮件源是垃圾邮件源的可能性,通过该分数信息去确定一个邮件源是否为垃圾邮件源的方法,与通过邮件内容去确定发送该邮件的邮件源是否为垃圾邮件的方法相比,更...
【技术保护点】
1.一种垃圾邮件源检测方法,其特征在于,包括:确定至少一个邮件源的邮件会话信息,一个邮件会话信息包括一个邮件源在收发邮件时的邮件参数信息;根据每个邮件源的邮件会话信息,对所述邮件源进行评分,得到所述邮件源的分数信息;根据各个邮件源的分数信息,确定所述至少一个邮件源中的垃圾邮件源。
【技术特征摘要】
1.一种垃圾邮件源检测方法,其特征在于,包括:确定至少一个邮件源的邮件会话信息,一个邮件会话信息包括一个邮件源在收发邮件时的邮件参数信息;根据每个邮件源的邮件会话信息,对所述邮件源进行评分,得到所述邮件源的分数信息;根据各个邮件源的分数信息,确定所述至少一个邮件源中的垃圾邮件源。2.如权利要求1所述的方法,其特征在于,所述确定至少一个邮件源的邮件会话信息,包括:根据一个邮件源以SMTP端口为目的端口发起请求的网络流的个数,确定所述邮件源的发件请求数目,所述邮件会话信息包括所述发件请求数目;和/或,根据以一个邮件源的IP为目的IP且以SMTP端口为源端口的网络流的个数,确定所述邮件源的发件请求被响应数目,所述邮件会话信息包括所述发件请求被响应数目;和/或,根据一个邮件源以POP3/IMAP端口为目的端口发起请求的网络流的个数,确定所述邮件源的收件请求数目,所述邮件会话信息包括所述收件请求数目;和/或,根据一个邮件源以SMTP端口为目的端口发起请求时被请求的不同目的IP的个数,确定所述邮件源的发件请求目的数目,所述邮件会话信息包括所述发件请求目的数目;和/或,根据以一个邮件源的SMTP端口为源端口的网络流的个数,确定所述邮件源的流入数目,所述邮件会话信息包括所述流入数目;和/或,根据一个邮件源以SMTP端口为目的端口发起请求的网络流的上行字节数和/或上行包数,确定所述邮件源的发件大小,所述邮件会话信息包括所述发件大小。3.如权利要求1或2所述的方法,其特征在于,所述根据每个邮件源的邮件会话信息,对所述邮件源进行评分,得到所述邮件源的分数信息,包括:根据一个邮件源的邮件会话信息,确定所述邮件源的评分项的分数信息;根据所述邮件源的评分项的分数信息,得到所述邮件源的分数信息;其中,所述评分项包括以下部分或全部:发送的邮件大小变化率、发件请求周期性变化率、发件请求峰值、收件请求个数、流入端口个数、请求目的服务器个数、闲置时间;所述发送的邮件大小变化率表示所述邮件源在预设时长内发送的邮件的大小变化率;所述发件请求周期性变化率表示所述邮件源在预设的N个时间段中的至少一个时间段内发送的邮件的数量的标准差,所述N为正整数;所述发件请求峰值表示所述邮件源在预设的N个时间段中的第一时间段时发送的邮件的数量,所述邮件源在所述第一时间段内发送的邮件数量大于所述邮件源在所述第一时间段之外的任一时间段内发送的邮件数量;所述收件请求个数表示所述邮件源在预设时长内接受的邮件的数量;所述流入端口个数表示所述邮件源的SMTP端口被请求的数量;所述请求目的服务器个数表示所述邮件源在预设时长内请求过的邮件服务器的数量;所述闲置时间表示所述邮件源在预设的N个时间段中没有进行收发邮件的时间段个数。4.如权利要求1或2所述的方法,其特征在于,在所述根据每个邮件源的邮件会话信息,对所述邮件源进行评分,得到所述邮件源的分数信息之前,还包括:根据所述邮件源的邮件会话信息,确定所述邮件源的邮件特征信息;根据所述邮件源的邮件特征信息,确定所述邮件源为可疑垃圾邮件源;其中,所述邮件特征信息包括以下部分或全部:收发件比例、请求响应比例、发件请求目的数和发件请求数目;所述收发件比例表示所述邮件源收件请求的数量和发件请求的数量的比例;所述请求响应比例表示所述邮件源向所述SMTP端口发送的请求中被响应的请求的比例;所述发件请求目的数表示所述邮件源请求的邮件服务器个数;所述发件请求数目表示所述邮件源作为源IP进行发件请求的数量。5.如权利要求1或2所述的方法,其特征在于,在根据每个邮件源的邮件会话信息,对所述邮件源进行评分,得到所述邮件源的分数信息之前,还包括:确定黑名单列表不包括的邮件源,所述黑名单...
【专利技术属性】
技术研发人员:皮靖,袁帅,梁莎,李景,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。