The embodiment of the invention discloses the detection method and system of mail attack, which is applied to the field of information processing technology. In the method of this embodiment, the mail detection system according to the characteristics of attack detection will detect the user's information to be received by the external mail client, deviation information datum feature and the normal range of mail, to determine whether the client user detection by malicious e-mail attacks. In determining whether the client is malicious email attack process using the fuzzy matching method, the detected feature information and a datum feature matching range, even if a malicious message is modified in some features, as long as with the reference range characteristic of large deviations, are identified as malicious attack mail client, makes the influence on the detection process is not great, compared with the prior art in precise matching (such as keyword matching etc.) method, increasing the probability of detecting malicious e-mail.
【技术实现步骤摘要】
一种邮件攻击的检测方法及系统
本专利技术涉及信息处理
,特别涉及一种邮件攻击的检测方法及系统。
技术介绍
随着信息泄漏的逐步加剧,互联网上泄露了各大公司的邮箱系统的数据,导致各大公司的邮件系统被钓鱼邮件恶意入侵的事件频发,尤其是随着成束(locky)敲诈病毒的流行,各个公司的邮件系统收到此类敲诈的钓鱼邮件越来越多。现有技术中,一般通过邮件检测系统拦截恶意的邮件,具体地,邮件检测系统采取基于关键字、信任网络协议(InternetProtocol,IP)、频率等方案拦截恶意的邮件,但因黑客频繁更换邮件主题、附件、发件人、发件ip等,造成无法识别此类批量钓鱼邮件的攻击,从而无法及时通知用户,造成部分未被邮件检测系统拦截的恶意邮件被客户端接收到进而触发病毒。
技术实现思路
本专利技术实施例提供一种邮件攻击的检测方法及系统,实现了根据待检测特征信息与正常行为邮件的基准特征范围的偏差信息,确定待检测用户的客户端是否被恶意邮件攻击。本专利技术实施例提供一种邮件攻击的检测方法,包括:获取邮件系统接收的正常行为邮件的基准特征范围;获取所述邮件系统中待检测用户的客户端接收的外部邮件的待检测特征信息;将所述待检测特征信息与基准特征范围进行比较得到偏差信息;如果所述偏差信息指示所述待检测特征信息与所述基准特征范围的偏差大于预置偏差,确定所述待检测用户的客户端被恶意邮件攻击。本专利技术实施例还提供一种邮件攻击的检测系统,包括:基准获取单元,用于获取邮件系统接收的正常行为邮件的基准特征范围;待检测获取单元,用于获取所述邮件系统中待检测用户的客户端接收的外部邮件的待检测特征信息;比较 ...
【技术保护点】
一种邮件攻击的检测方法,其特征在于,包括:获取邮件系统接收的正常行为邮件的基准特征范围;获取所述邮件系统中待检测用户的客户端接收的外部邮件的待检测特征信息;将所述待检测特征信息与基准特征范围进行比较得到偏差信息;如果所述偏差信息指示所述待检测特征信息与所述基准特征范围的偏差大于预置偏差,确定所述待检测用户的客户端被恶意邮件攻击。
【技术特征摘要】
1.一种邮件攻击的检测方法,其特征在于,包括:获取邮件系统接收的正常行为邮件的基准特征范围;获取所述邮件系统中待检测用户的客户端接收的外部邮件的待检测特征信息;将所述待检测特征信息与基准特征范围进行比较得到偏差信息;如果所述偏差信息指示所述待检测特征信息与所述基准特征范围的偏差大于预置偏差,确定所述待检测用户的客户端被恶意邮件攻击。2.如权利要求1所述的方法,其特征在于,所述基准特征范围包括至少一个维度特征的范围;所述待检测特征信息包括所述至少一个维度特征的参数值;所述偏差信息包括所述待检测特征信息中至少一个维度特征的参数值分别与所述基准特征范围中相应维度特征的范围的偏差。3.如权利要求2所述的方法,其特征在于,所述获取邮件系统接收的正常行为邮件的基准特征范围,具体包括:获取所述邮件系统的邮件流水日志;剔除所述邮件流水日志中恶意邮件的日志得到剔除后的邮件流水日志;统计所述剔除后的邮件流水日志中多个所述正常行为邮件的至少一个维度特征的信息得到所述基准特征范围。4.如权利要求3所述的方法,其特征在于,所述至少一个维度特征包括邮件数量,则所述统计所述剔除后的邮件流水日志中多个所述正常行为邮件的至少一个维度特征的信息得到所述基准特征范围,具体包括:根据所述剔除后的邮件流水日志,统计在一段时间内每个用户的客户端在每个工作日接收的外部邮件的数量,将所述一段时间内每个工作日每个用户的客户端接收的外部邮件的数量的平均值作为所述维度特征的最大值;或者,根据所述剔除后的邮件流水日志,在一段时间内每个用户的客户端在每个工作日接收的外部邮件的数量中选取一个最大值,将所述选取的最大值作为所述维度特征的最大值。5.如权利要求3所述的方法,其特征在于,所述至少一个维度特征包括来源邮件系统标识,接收时间,主题和网络来源地址中任一维度特征,则所述统计所述剔除后的邮件流水日志中多个所述正常行为邮件的至少一个维度特征的信息得到所述基准特征范围,具体包括:根据所述剔除后的邮件流水日志,统计一段时间内每个用户的客户端在每个工作日接收的外部邮件中,某一维度特征下各个参数值对应的外部邮件的占比,如果具有某一参数值的外部邮件的占比大于预置值,则将所述参数值作为对应维度特征的范围。6.如权利要求2所述的方法,其特征在于,所述将所述待检测特征信息与基准特征范围进行比较得到偏差信息之后,所述方法还包括:根据所述偏差信息确定所述待检测特征信息的整体分值;如果所述整体分值超出预置的分值范围,确定所述偏差信息指示所述待检测特征信息与所述基准特征范围的偏差大于预置偏差。7.如权利要求6所述的方法,其特征在于,如果所述维度特征为多个,则根据所述偏差信息确定所述待检测特征信息的整体分值,具体包括:根据所述待检测特征信息中多个维度特征的参数值分别与所述基准特征范围中相应维度特征的范围的偏差,分别确定所述多个维度特征中每个维度特征对应的分值,将所述多个维度特征分别对应的分值相加得到所述整体分值;或,分别设定所述多个维度特征的权重值,将参数值与基准特征范围中的范围相比具有偏差的维度特征的权重值的相加值作为所述整体分值。8.如权利要求1至7任一项所述的方法,其特征在于,所述方法还包括:针对所述邮件系统的所有用户中每个用户的客户端,执行所述获取待检测特征信息,比较和确定的步骤,得到所述所有用户中每个用户的客户端是否被恶意邮件攻击的信息;如果被恶意邮件攻击的第一用户的客户端占所述所有用户的客户端的比例大于预置的比例,确定所述邮件系统被恶意邮件攻击。9.如权利要求8所述的方法,其特征在于,所述方法还包括:发送用户提醒信息,所述用户提醒信息用于...
【专利技术属性】
技术研发人员:马立伟,蔡晨,王森,李志豪,王月强,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。