本发明专利技术涉及数据分析技术领域,具体涉及邮件数据的分析方法、钓鱼邮件的检测方法及装置,所述分析方法包括获取多个待分析邮件的分析数据,分析数据包括邮件特征以及对应的传送代理;基于邮件特征,确定传送代理之间的相似度;利用待传送代理及传送代理之间的相似度建立传送代理图,传送代理图的节点为传送代理,所述传送代理图的边为待处理代理之间的相似度;对传送代理图进行稳定度分析,确定非钓鱼邮件的分析数据,所述分析数据包括非钓鱼邮件的邮件特征及其对应的传送代理。将非钓鱼邮件的邮件特征及其对应的传送代理进行关联,从待分析邮件的来源进行分析,可以保证非钓鱼邮件的分析数据的准确性,且可以快速地检测出邮件是否为钓鱼邮件。
【技术实现步骤摘要】
邮件数据的分析方法、钓鱼邮件的检测方法及装置
本专利技术涉及数据分析
,具体涉及邮件数据的分析方法、钓鱼邮件的检测方法及装置。
技术介绍
钓鱼邮件是指利用伪装的邮件,欺骗收件人将账号、口令等信息回复给指定的接收者,或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗取。因此,就需要对邮件进行检测,以确定其是否为钓鱼邮件。目前常采用的钓鱼邮件检测技术有:特征码技术以及沙箱技术。其中,所述的特征码技术是将邮件中的特征值与威胁情报中的内容进行匹对,确定邮件是否为钓鱼邮件。所述沙箱技术是模拟真实的用户操作,针对邮件中提供的附件或链接进行深度行为分析,确定邮件是否为恶意。然而,由于钓鱼邮件是以特定的个体为目标,且攻击者会更换URL等信息,导致特征码失效,导致上述的特征码技术难以对不可预测的邮件进行有效检测。所述的沙箱技术的分析时间较长,通常一个文件需要数分钟甚至几十分钟,导致检测效率较低。
技术实现思路
有鉴于此,本专利技术实施例提供了一种邮件数据的分析方法、钓鱼邮件的检测方法及装置,以解决钓鱼邮件的检测准确性以及效率低的问题。根据第一方面,本专利技术实施例提供了一种邮件数据的分析方法,包括:获取多个待分析邮件的分析数据,所述分析数据包括邮件特征以及对应的传送代理;基于所述邮件特征,确定所述传送代理之间的相似度;利用所述待传送代理及所述传送代理之间的相似度建立传送代理图,所述传送代理图的节点为所述传送代理,所述传送代理图的边用于连接具有相似性的两个所述传送代理;对所述传送代理图进行稳定度分析,确定非钓鱼邮件的分析数据,所述分析数据包括所述非钓鱼邮件的邮件特征及其对应的传送代理。本专利技术实施例提供的邮件数据的分析方法,利用待分析邮件的邮件特征以及传送代理确定非钓鱼邮件的分析数据,在非钓鱼邮件的分析数据中将非钓鱼邮件的邮件特征及其对应的传送代理进行关联,从待分析邮件的来源进行分析,可以保证非钓鱼邮件的分析数据的准确性;且后续在对邮件进行检测时,只需要利用非钓鱼邮件的分析数据与邮件的分析数据进行对比分析,就可以快速地检测出该邮件是否为钓鱼邮件,提高了检测效率。结合第一方面,在第一方面第一实施方式中,所述对所述传送代理图进行稳定度分析,确定非钓鱼邮件的分析数据,包括:对所述传送代理图进行划分,得到至少两个传送代理子图;对各个所述传送代理子图进行模块化计算,确定各个传送代理子图的模块化数值;基于各个所述传送代理子图的模块化数值,确定非钓鱼邮件的分析数据。本专利技术实施例提供的邮件数据的分析方法,通过对传送代理图进行划分,可以减少每次数据处理量,提高分析效率;同时对传送代理子图进行模块化计算以对传送代理子图进行稳定性确定,保证了非钓鱼邮件的分析结果的可靠性。结合第一方面第一实施方式,在第一方面第二实施方式中,所述基于各个所述传送代理子图的模块化数值,确定非钓鱼邮件的分析数据,包括:判断各个所述传送代理子图中是否存在所述模块化数值在目标范围内的第一传送代理子图;当存在所述第一传送代理子图时,将所述第一传送代理子图对应的目标传送代理以及所述目标传送代理对应的目标邮件特征,确定为所述非钓鱼邮件的分析数据。本专利技术实施例提供的邮件数据的分析方法,在第一传送代理子图的模块化数值在目标范围内,表示该第一传送代理子图可以直接确定为非钓鱼邮件的分析数据,即,直接利用目标范围与模块化数值进行大小比较,简化了分析过程,提高了分析效率。结合第一方面第一实施方式,在第一方面第三实施方式中,所述基于各个所述传送代理子图的模块化数值,确定非钓鱼邮件的分析数据,还包括:判断各个所述传送代理子图中是否存在所述模块化数值在划分范围内的第二传送代理子图;当存在所述第二传送代理子图时,对所述第二传送代理子图进行再次划分。本专利技术实施例提供的邮件数据的分析方法,在划分范围内的第二传送代理子图可以再次进行划分,以保证分析结果的准确性。结合第一方面第一实施方式,在第一方面第四实施方式中,所述基于各个所述传送代理子图的模块化数值,确定非钓鱼邮件的分析数据,还包括:判断各个所述传送代理子图中是否存在所述模块化数值在丢弃范围内的第三传送代理子图;当存在所述第三传送代理子图时,丢弃所述第三传送代理子图。本专利技术实施例提供的邮件数据的分析方法,在丢弃范围内的第三传送代理子图难以通过划分得到在模块化数值在目标范围内的传送代理子图,将第三传送代理子图丢弃,可以减少数据处理量,提高分析效率。结合第一方面第一实施方式至第四实施方式中任一项,在第一方面第五实施方式中,所述对所述传送代理图进行划分,得到至少两个传送代理子图,包括:计算所述传送代理图中各个节点的介数中心性;在所述传送代理图中删除所述节点中心性最高的节点及其相连的边,得到至少两个所述传送代理子图。本专利技术实施例提供的邮件数据的分析方法,由于介数中心性最高的节点表示大部分节点的最短路径均经过该节点,从该节点对传送代理图进行划分,可以实现在保证准确性的基础上,得到两个传送代理子图。结合第一方面,在第一方面第六实施方式中,所述基于所述邮件特征,确定所述传送代理之间的相似度,包括:统计任意两个所述传送代理对应的相同邮件特征的数量;利用所述相同邮件特征的数量,确定任意两个所述传送代理之间的相似度。本专利技术实施例提供的邮件数据的分析方法,直接利用相同邮件特征的数量确定任意两个传送代理之间的相似度,计算过程简单,可以提高分析效率。根据第二方面,本专利技术实施例还提供了一种钓鱼邮件的检测方法,包括:获取待检测邮件的分析数据,所述分析数据包括邮件特征以及对应的传送代理;利用所述邮件特征查询非钓鱼邮件的分析数据,确定与所述邮件特征对应的目标传送代理,所述非钓鱼邮件的分析数据包括非钓鱼邮件的目标邮件特征与目标传送代理的对应关系;基于所述待检测邮件对应的传送代理以及所述目标传送代理,确定所述待检测邮件是否为钓鱼邮件。本专利技术实施例提供的钓鱼邮件的检测方法,利用待分析邮件的邮件特征以及传送代理确定非钓鱼邮件的分析数据,在非钓鱼邮件的分析数据中将非钓鱼邮件的邮件特征及其对应的传送代理进行关联,从待分析邮件的来源进行分析,可以保证非钓鱼邮件的分析数据的准确性;在对邮件进行检测时,只需要利用非钓鱼邮件的分析数据与邮件的分析数据进行对比分析,就可以快速地检测出该邮件是否为钓鱼邮件,提高了检测效率。根据第三方面,本专利技术实施例还提供了一种邮件数据的分析装置,包括:第一获取模块,用于获取多个待分析邮件的分析数据,所述分析数据包括邮件特征以及对应的传送代理;第一确定模块,用于基于所述邮件特征,确定所述传送代理之间的相似度;建立模块,用于利用所述待传送代理及所述传送代理之间的相似度建立传送代理图,本文档来自技高网...
【技术保护点】
1.一种邮件数据的分析方法,其特征在于,包括:/n获取多个待分析邮件的分析数据,所述分析数据包括邮件特征以及对应的传送代理;/n基于所述邮件特征,确定所述传送代理之间的相似度;/n利用所述待传送代理及所述传送代理之间的相似度建立传送代理图,所述传送代理图的节点为所述传送代理,所述传送代理图的边用于连接具有相似性的两个所述待处理代理;/n对所述传送代理图进行稳定度分析,确定非钓鱼邮件的分析数据,所述分析数据包括所述非钓鱼邮件的邮件特征及其对应的传送代理。/n
【技术特征摘要】
1.一种邮件数据的分析方法,其特征在于,包括:
获取多个待分析邮件的分析数据,所述分析数据包括邮件特征以及对应的传送代理;
基于所述邮件特征,确定所述传送代理之间的相似度;
利用所述待传送代理及所述传送代理之间的相似度建立传送代理图,所述传送代理图的节点为所述传送代理,所述传送代理图的边用于连接具有相似性的两个所述待处理代理;
对所述传送代理图进行稳定度分析,确定非钓鱼邮件的分析数据,所述分析数据包括所述非钓鱼邮件的邮件特征及其对应的传送代理。
2.根据权利要求1所述的分析方法,其特征在于,所述对所述传送代理图进行稳定度分析,确定非钓鱼邮件的分析数据,包括:
对所述传送代理图进行划分,得到至少两个传送代理子图;
对各个所述传送代理子图进行模块化计算,确定各个传送代理子图的模块化数值;
基于各个所述传送代理子图的模块化数值,确定非钓鱼邮件的分析数据。
3.根据权利要求2所述的分析方法,其特征在于,所述基于各个所述传送代理子图的模块化数值,确定非钓鱼邮件的分析数据,包括:
判断各个所述传送代理子图中是否存在所述模块化数值在目标范围内的第一传送代理子图;
当存在所述第一传送代理子图时,将所述第一传送代理子图对应的目标传送代理以及所述目标传送代理对应的目标邮件特征,确定为所述非钓鱼邮件的分析数据。
4.根据权利要求2所述的分析方法,其特征在于,所述基于各个所述传送代理子图的模块化数值,确定非钓鱼邮件的分析数据,还包括:
判断各个所述传送代理子图中是否存在所述模块化数值在划分范围内的第二传送代理子图;
当存在所述第二传送代理子图时,对所述第二传送代理子图进行再次划分。
5.根据权利要求2所述的分析方法,其特征在于,所述基于各个所述传送代理子图的模块化数值,确定非钓鱼邮件的分析数据,还包括:
判断各个所述传送代理子图中是否存在所述模块化数值在丢弃范围内的第三传送代理子图;
当存在所述第三传送代理子图时,丢弃所述第三传送代理子图。
6.根据权利要求2-5中任一项所述的分析方法,其特征在于,所述对所述传送代理图进行划分,得到至少两个传送代理子图,包括:
计算所述传送代理图中各个节点的介数中心性;
在所述传送代理图中删除所述节点中心性最高的节点及其相连的边,得到至少两个所述传送代理子图。
7.根据权利要求1所述的分...
【专利技术属性】
技术研发人员:潘杰,
申请(专利权)人:华云数据控股集团有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。