【技术实现步骤摘要】
基于动静态链接特征识别的钓鱼邮件检测方法及介质
本申请涉及计算机
,特别是涉及基于动静态链接特征识别的钓鱼邮件检测方法、电子装置及存储介质。
技术介绍
钓鱼邮件主要是在邮件中呈现具有误导性质的链接,该链接指向恶意网页,点击了邮件中的链接并输入密码或者隐私信息,就会造成隐私泄露。随着技术的发展,尤其是钓鱼邮件技术的不断改进,通常恶意攻击者会在钓鱼邮件中植入恶意链接以引诱受害者点击触发钓鱼攻击。现有中实现对钓鱼邮件检测的方案是通过提取邮件的特征向量,然后根据特征向量在向量机模型(SVM)中进行钓鱼邮件的识别,同时,现有中还有采用对邮件的链接特征进行检测,并在分类模型对检测出的链接特征进行类型检测而识别出钓鱼邮件的方案。现有相关技术中,对于钓鱼邮件的检测只是对邮件中的链接进行特征向量检测,而特征向量检测属于静态检测,通过静态检测识别钓鱼邮件存在误报和漏报率高的不足。目前针对相关技术中通过静态检测识别钓鱼邮件存在误报和漏报率高的问题,尚未提出有效的解决方案。
技术实现思路
本申请实施例提供了一种基于动静态链接特征识别的钓鱼邮件检测方法、电子装置及存储介质,以至少解决相关技术中通过静态检测识别钓鱼邮件存在误报和漏报率高的问题。第一方面,本申请实施例提供了一种基于动静态链接特征识别的钓鱼邮件检测方法,包括:获取待检测邮件的内容中的链接,并对所述链接进行过滤处理,得到第一链接;根据所述第一链接获取所述待检测邮件的动静态特征数据,其中,所述动静态特征数据包括静态特征数据和动态 ...
【技术保护点】
1.一种基于动静态链接特征识别的钓鱼邮件检测方法,其特征在于,包括:/n获取待检测邮件的内容中的链接,并对所述链接进行过滤处理,得到第一链接;/n根据所述第一链接获取所述待检测邮件的动静态特征数据,其中,所述动静态特征数据包括静态特征数据和动态特征数据,所述静态特征数据包括对从所述第一链接中检测出的预设链接特征进行向量化处理后的链接特征向量,所述动态特征数据包括在沙盘环境中访问所述第一链接触发的行为特征数据;/n基于所述静态特征数据的类型和所述动态特征数据中的恶意行为特征数据确定所述待检测邮件是否为钓鱼邮件。/n
【技术特征摘要】 【专利技术属性】
1.一种基于动静态链接特征识别的钓鱼邮件检测方法,其特征在于,包括:
获取待检测邮件的内容中的链接,并对所述链接进行过滤处理,得到第一链接;
根据所述第一链接获取所述待检测邮件的动静态特征数据,其中,所述动静态特征数据包括静态特征数据和动态特征数据,所述静态特征数据包括对从所述第一链接中检测出的预设链接特征进行向量化处理后的链接特征向量,所述动态特征数据包括在沙盘环境中访问所述第一链接触发的行为特征数据;
基于所述静态特征数据的类型和所述动态特征数据中的恶意行为特征数据确定所述待检测邮件是否为钓鱼邮件。
2.根据权利要求1所述的基于动静态链接特征识别的钓鱼邮件检测方法,其特征在于,获取待检测邮件的内容中的链接包括:
获取所述待检测邮件;
根据多用途互联网邮件扩展类型标准对所述待检测邮件进行解析,得到所述待检测邮件的发件人邮箱域名和所述待检测邮件的内容;
提取所述待检测邮件的内容中的链接,得到所述待检测邮件的内容中的链接。
3.根据权利要求2所述的基于动静态链接特征识别的钓鱼邮件检测方法,其特征在于,获取所述待检测邮件包括:
在网络流量中提取邮件数据流,其中,所述邮件数据流至少包括:POP协议的数据流,SMTP协议的数据流,IMAP协议的数据流;
对所述邮件数据流进行解析,进而得到邮件格式的待检测邮件;或者,
在邮件格式的文件中读取所述待检测邮件。
4.根据权利要求2所述的基于动静态链接特征识别的钓鱼邮件检测方法,其特征在于,提取所述待检测邮件的内容中的链接包括:
判断所述待检测邮件的格式类型;其中,所述格式类型包括HTML格式类型和文本格式类型;
在判断到所述待检测邮件的所述格式类型为HTML格式类型的情况下,根据HTML标准提取超链接中的链接和area标签中的链接,并将所述超链接中的链接和所述area标签中的链接作为所述待检测邮件的内容中的链接;
在判断到所述待检测邮件的所述格式类型为文本格式类型的情况下,采用正则表达式提取所述待检测邮件的内容中的链接。
5.根据权利要求2所述的基于动静态链接特征识别的钓鱼邮件检测方法,其特征在于,对所述链接进行过滤处理包括:
在所述链接中过滤出与自身邮件白名单中的域名不同的域名所对应的链接,得到第一过滤后的链接;
在所述第一过滤后的链接中过滤出与预设域名白名单中的域名不同的域名所对应的链接,得到第二过滤后的链接,并将与所述预设域名白名单中的域名相同的域名保存至所述自身邮件白名单;
在所述第二过滤后的链接中过滤出与Alexa白名单中的域名不同的域名所对应的链接,得到第三过滤后的链接,并将与所述Alexa白名单中的域名相同的域名保存至所述自身邮件白名单;
在所述第三过滤后的链接中过滤出与所述发件人邮箱域名不同的域名所对应的链接,得到所述第一链接,并将与所述发件人邮箱域名相同的域名和所述第一链接的域名保存至所述自身邮件白名单。
6.根据权利要求1所述的基于动静态链接特征识别的钓鱼邮件检测方法,其特征在于,根据所述第一链接获取所述待检测邮件的动静态特征数据包括:
在所述第一链接中检测预设链接特征,其中,所述预设链接特征用于区分钓鱼邮件和非钓鱼邮件;
对所述预设链接特征进行向量化处理,得到所述待检测邮件的链接特征向量,并确定所述链接特征向量为所述静态特征数据;和/或,
技术研发人员:陆嘉杰,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。