基于动静态链接特征识别的钓鱼邮件检测方法及介质技术

本申请涉及一种基于动静态链接特征识别的钓鱼邮件检测方法、电子装置和存储介质。该基于动静态链接特征识别的钓鱼邮件检测方法包括：获取待检测邮件的内容中的链接，并对链接进行过滤处理，得到第一链接；根据第一链接获取待检测邮件的动静态特征数据，动静态特征数据包括静态特征数据和动态特征数据；基于静态特征数据的类型和动态特征数据中的恶意行为特征数据确定所述待检测邮件是否为钓鱼邮件。通过本申请，解决了相关技术中通过静态检测识别钓鱼邮件存在误报和漏报率高的问题，实现了降低链接检测的误报率和漏报率，提高钓鱼邮件中恶意链接的检出率的有益效果。

【技术实现步骤摘要】
基于动静态链接特征识别的钓鱼邮件检测方法及介质
本申请涉及计算机
，特别是涉及基于动静态链接特征识别的钓鱼邮件检测方法、电子装置及存储介质。
技术介绍
钓鱼邮件主要是在邮件中呈现具有误导性质的链接，该链接指向恶意网页，点击了邮件中的链接并输入密码或者隐私信息，就会造成隐私泄露。随着技术的发展，尤其是钓鱼邮件技术的不断改进，通常恶意攻击者会在钓鱼邮件中植入恶意链接以引诱受害者点击触发钓鱼攻击。现有中实现对钓鱼邮件检测的方案是通过提取邮件的特征向量，然后根据特征向量在向量机模型(SVM)中进行钓鱼邮件的识别，同时，现有中还有采用对邮件的链接特征进行检测，并在分类模型对检测出的链接特征进行类型检测而识别出钓鱼邮件的方案。现有相关技术中，对于钓鱼邮件的检测只是对邮件中的链接进行特征向量检测，而特征向量检测属于静态检测，通过静态检测识别钓鱼邮件存在误报和漏报率高的不足。目前针对相关技术中通过静态检测识别钓鱼邮件存在误报和漏报率高的问题，尚未提出有效的解决方案。
技术实现思路
本申请实施例提供了一种基于动静态链接特征识别的钓鱼邮件检测方法、电子装置及存储介质，以至少解决相关技术中通过静态检测识别钓鱼邮件存在误报和漏报率高的问题。第一方面，本申请实施例提供了一种基于动静态链接特征识别的钓鱼邮件检测方法，包括：获取待检测邮件的内容中的链接，并对所述链接进行过滤处理，得到第一链接；根据所述第一链接获取所述待检测邮件的动静态特征数据，其中，所述动静态特征数据包括静态特征数据和动态特征数据，所述静态特征数据包括对从所述第一链接中检测出的预设链接特征进行向量化处理后的链接特征向量，所述动态特征数据包括在沙盘环境中访问所述第一链接触发的行为特征数据；基于所述静态特征数据的类型和所述动态特征数据中的恶意行为特征数据确定所述待检测邮件是否为钓鱼邮件。在其中一些实施例中，获取待检测邮件的内容中的链接包括：获取所述待检测邮件；根据多用途互联网邮件扩展类型标准对所述待检测邮件进行解析，得到所述待检测邮件的发件人邮箱域名和所述待检测邮件的内容；提取所述待检测邮件的内容中的链接，得到所述待检测邮件的内容中的链接。在其中一些实施例中，获取所述待检测邮件包括：在网络流量中提取邮件数据流，其中，所述邮件数据流至少包括：POP协议的数据流，SMTP协议的数据流，IMAP协议的数据流；对所述邮件数据流进行解析，进而得到邮件格式的待检测邮件；或者，在邮件格式的文件中读取所述待检测邮件。在其中一些实施例中，提取所述待检测邮件的内容中的链接包括：判断所述待检测邮件的格式类型；其中，所述格式类型包括HTML格式类型和文本格式类型；在判断到所述待检测邮件的所述格式类型为HTML格式类型的情况下，根据HTML标准提取超链接中的链接和area标签中的链接，并将所述超链接中的链接和所述area标签中的链接作为所述待检测邮件的内容中的链接；在判断到所述待检测邮件的所述格式类型为文本格式类型的情况下，采用正则表达式提取所述待检测邮件的内容中的链接。在其中一些实施例中，对所述链接进行过滤处理包括：在所述链接中过滤出与自身邮件白名单中的域名不同的域名所对应的链接，得到第一过滤后的链接；在所述第一过滤后的链接中过滤出与预设域名白名单中的域名不同的域名所对应的链接，得到第二过滤后的链接，并将与所述预设域名白名单中的域名相同的域名保存至所述自身邮件白名单；在所述第二过滤后的链接中过滤出与Alexa白名单中的域名不同的域名所对应的链接，得到第三过滤后的链接，并将与所述Alexa白名单中的域名相同的域名保存至所述自身邮件白名单；在所述第三过滤后的链接中过滤出与所述发件人邮箱域名不同的域名所对应的链接，得到所述第一链接，并将与所述发件人邮箱域名相同的域名和所述第一链接的域名保存至所述自身邮件白名单。在其中一些实施例中，根据所述第一链接获取所述待检测邮件的动静态特征数据包括：在所述第一链接中检测预设链接特征，其中，所述预设链接特征用于区分钓鱼邮件和非钓鱼邮件；对所述预设链接特征进行向量化处理，得到所述待检测邮件的链接特征向量，并确定所述链接特征向量为所述静态特征数据；和/或，在所述沙盘环境中访问所述第一链接，得到所述行为特征数据，并确定所述行为特征数据为所述动态特征数据，其中，所述行为特征数据包括在所述沙盘环境中所述第一链接触发的操作行为。在其中一些实施例中，基于所述静态特征数据的类型和所述动态特征数据中的恶意行为特征数据确定所述待检测邮件是否为钓鱼邮件包括：根据所述静态特征数据的类型确定所述待检测邮件是否为钓鱼邮件，并获取第一检测结果；根据所述动态特征数据中的恶意行为特征数据确定所述待检测邮件是否为钓鱼邮件，并获取第二检测结果；在所述第一检测结果和所述第二检测结果均显示所述待检测邮件为钓鱼邮件的情况下，确定所述待检测邮件为钓鱼邮件。在其中一些实施例中，基于所述静态特征数据的类型确定所述待检测邮件是否为钓鱼邮件包括：通过预设分类模型对所述链接特征向量进行类型检测，检测得到所述待检测邮件是否为钓鱼邮件。在其中一些实施例中，通过预设分类模型对所述链接特征向量进行类型检测包括：将所述链接特征向量输入至所述预设分类模型，输出数值结果，其中，所述预设分类模型包括以下任一种：朴素贝叶斯分类模型，支持向量机模型；所述数值结果用于表征所述待检测邮件是否为钓鱼邮件；将所述数值结果与预设边界阈值进行对比，并根据对比结果确定所述待检测邮件是否为钓鱼邮件，其中，所述预设边界阈值为是否为钓鱼邮件的边界值。在其中一些实施例中，基于所述动态特征数据中的恶意行为特征数据确定所述待检测邮件是否为钓鱼邮件包括：在所述动态特征数据中检测与预设恶意行为特征数据对应的所述恶意行为特征数据，其中，所述恶意行为特征数据包括恶意行为和恶意行为类别，所述恶意行为类别包括恶意回连、恶意下载、恶意调用和恶意修改；在威胁等级表中查询检测出的所述恶意行为的威胁等级，其中，所述威胁等级表包括恶意行为的恶意行为类别与该恶意行为的威胁等级的对应关系；判断所述恶意行为中是否具有威胁等级为高危等级的所述恶意行为，并在判断到所述恶意行为中具有威胁等级为高危等级的所述恶意行为的情况下，确实所述待检测邮件为钓鱼邮件。在其中一些实施例中，在判断所述恶意行为中没有威胁等级为高危等级的所述恶意行为情况下，所述方法还包括：在所述恶意行为特征数据中检测每一类所述恶意行为类别中所述恶意行为的项数；判断每一类所述恶意行为类别中所述恶意行为的项数是否大于预设阈值；在判断到至少有一类所述恶意行为类别中的所述恶意行为的项数大于预设阈值的情况下，确定所述待检测邮件为钓鱼邮件。第二方面，本申请实施例提供了一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行第一方面所述的基于动静态链接特征识别的本文档来自技高网...

【技术保护点】
1.一种基于动静态链接特征识别的钓鱼邮件检测方法，其特征在于，包括：/n获取待检测邮件的内容中的链接，并对所述链接进行过滤处理，得到第一链接；/n根据所述第一链接获取所述待检测邮件的动静态特征数据，其中，所述动静态特征数据包括静态特征数据和动态特征数据，所述静态特征数据包括对从所述第一链接中检测出的预设链接特征进行向量化处理后的链接特征向量，所述动态特征数据包括在沙盘环境中访问所述第一链接触发的行为特征数据；/n基于所述静态特征数据的类型和所述动态特征数据中的恶意行为特征数据确定所述待检测邮件是否为钓鱼邮件。/n

【技术特征摘要】
1.一种基于动静态链接特征识别的钓鱼邮件检测方法，其特征在于，包括：
获取待检测邮件的内容中的链接，并对所述链接进行过滤处理，得到第一链接；
根据所述第一链接获取所述待检测邮件的动静态特征数据，其中，所述动静态特征数据包括静态特征数据和动态特征数据，所述静态特征数据包括对从所述第一链接中检测出的预设链接特征进行向量化处理后的链接特征向量，所述动态特征数据包括在沙盘环境中访问所述第一链接触发的行为特征数据；
基于所述静态特征数据的类型和所述动态特征数据中的恶意行为特征数据确定所述待检测邮件是否为钓鱼邮件。


2.根据权利要求1所述的基于动静态链接特征识别的钓鱼邮件检测方法，其特征在于，获取待检测邮件的内容中的链接包括：
获取所述待检测邮件；
根据多用途互联网邮件扩展类型标准对所述待检测邮件进行解析，得到所述待检测邮件的发件人邮箱域名和所述待检测邮件的内容；
提取所述待检测邮件的内容中的链接，得到所述待检测邮件的内容中的链接。


3.根据权利要求2所述的基于动静态链接特征识别的钓鱼邮件检测方法，其特征在于，获取所述待检测邮件包括：
在网络流量中提取邮件数据流，其中，所述邮件数据流至少包括：POP协议的数据流，SMTP协议的数据流，IMAP协议的数据流；
对所述邮件数据流进行解析，进而得到邮件格式的待检测邮件；或者，
在邮件格式的文件中读取所述待检测邮件。


4.根据权利要求2所述的基于动静态链接特征识别的钓鱼邮件检测方法，其特征在于，提取所述待检测邮件的内容中的链接包括：
判断所述待检测邮件的格式类型；其中，所述格式类型包括HTML格式类型和文本格式类型；
在判断到所述待检测邮件的所述格式类型为HTML格式类型的情况下，根据HTML标准提取超链接中的链接和area标签中的链接，并将所述超链接中的链接和所述area标签中的链接作为所述待检测邮件的内容中的链接；
在判断到所述待检测邮件的所述格式类型为文本格式类型的情况下，采用正则表达式提取所述待检测邮件的内容中的链接。


5.根据权利要求2所述的基于动静态链接特征识别的钓鱼邮件检测方法，其特征在于，对所述链接进行过滤处理包括：
在所述链接中过滤出与自身邮件白名单中的域名不同的域名所对应的链接，得到第一过滤后的链接；
在所述第一过滤后的链接中过滤出与预设域名白名单中的域名不同的域名所对应的链接，得到第二过滤后的链接，并将与所述预设域名白名单中的域名相同的域名保存至所述自身邮件白名单；
在所述第二过滤后的链接中过滤出与Alexa白名单中的域名不同的域名所对应的链接，得到第三过滤后的链接，并将与所述Alexa白名单中的域名相同的域名保存至所述自身邮件白名单；
在所述第三过滤后的链接中过滤出与所述发件人邮箱域名不同的域名所对应的链接，得到所述第一链接，并将与所述发件人邮箱域名相同的域名和所述第一链接的域名保存至所述自身邮件白名单。


6.根据权利要求1所述的基于动静态链接特征识别的钓鱼邮件检测方法，其特征在于，根据所述第一链接获取所述待检测邮件的动静态特征数据包括：
在所述第一链接中检测预设链接特征，其中，所述预设链接特征用于区分钓鱼邮件和非钓鱼邮件；
对所述预设链接特征进行向量化处理，得到所述待检测邮件的链接特征向量，并确定所述链接特征向量为所述静态特征数据；和/或，

【专利技术属性】
技术研发人员：陆嘉杰，范渊，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江;33