本申请实施例公开了一种检测方法和设备、计算机存储介质,其中,所述方法包括:获得至少一个主机在第一时间内产生的邮件相关数据,所述邮件相关数据表征为与主机发送外网邮件相关的数据;基于所述邮件相关数据,从所述至少一个主机中识别目标主机,所述目标主机为发送有外网加密邮件的主机;获得目标主机的第一目标数据和/或第二目标数据,其中所述第一目标数据表征为与发送外网邮件相关的邮件交换记录数据,第二目标数据表征与发送外网邮件相关的网络流量数据;基于第一目标数据和/或第二目标数据,确定所述目标主机在所述第一时间内是否发送目标邮件,所述目标邮件表征为外网加密垃圾邮件。
【技术实现步骤摘要】
检测方法及检测设备、存储介质
本申请涉及检测技术,具体涉及一种检测方法及检测设备、计算机存储介质。
技术介绍
在网络安全技术中,如果存在主机被非法用户如黑客攻击的情况下,被攻击的主机会变成肉机。被攻击的主机会产生一系列的非合理行为,如会发送大量的垃圾邮件,而且该垃圾邮件还会被加密。为方便理解,将本申请涉及到的被加密的垃圾邮件简称为加密垃圾邮件。相关技术中,为防止肉机向外网发送大量加密垃圾邮件而给外网设备造成的伤害,通常采用如下方案来检测向外网发送加密垃圾邮件的主机。先解密待检测主机向外发送的邮件,通过对发送的邮件是否能够被解密来识别其是否被加密,如果是加密邮件则识别正文内容,通过正文内容来识别其是否是垃圾邮件。其中,对发送的邮件进行解密需要使用不同的解密算法尝试去解密,工程量较大,耗费成本较高。而在垃圾邮件识别的方案中,多数情况下如果将解析出的邮件正文内容与正常正文内容不一致则认为是垃圾邮件,这种方法,如果采集或收集的正常正文内容样本不够丰富,则容易产生错误检测或漏掉检测的情形。
技术实现思路
为解决现有存在的技术问题,本申请实施例提供一种检测方法、设备及计算机存储介质。本申请实施例的技术方案是这样实现的:本申请实施例提供一种检测方法,所述方法包括:获得至少一个主机在第一时间内产生的邮件相关数据,所述邮件相关数据表征为与主机发送外网邮件相关的数据;基于所述邮件相关数据,从所述至少一个主机中识别目标主机,所述目标主机为发送有外网加密邮件的主机;获得目标主机的第一目标数据和/或第二目标数据,其中所述第一目标数据表征为与发送外网邮件相关的邮件交换记录数据,第二目标数据表征与发送外网邮件相关的网络流量数据;基于第一目标数据和/或第二目标数据,确定所述目标主机在所述第一时间内是否发送目标邮件,所述目标邮件表征为外网加密垃圾邮件。上述方案中,所述基于所述邮件相关数据,从所述至少一个主机中识别目标主机,包括:基于所述邮件相关数据,判断各个主机发送的外网邮件中是否均存在表征为发件人域名信息的字段;针对外网邮件中未存在表征发件人域名信息字段的主机,对所述主机发送的未存在表征发件人域名信息字段的外网邮件的数量进行计算;在计算结果超过第一阈值的情况下,确定所述主机为目标主机。上述方案中,所述基于第一目标数据,确定所述目标主机在所述第一时间内是否发送目标邮件,包括:基于第一目标数据,获得第一识别时长内所述目标主机发送外网邮件的次数、以及所述目标主机发送的外网邮件的域名的数量;基于第一识别时长内所述目标主机发送外网邮件的次数、以及所述目标主机发送的外网邮件的域名的数量,确定所述目标主机在所述第一识别时长内是否发送有目标邮件;获得第一目标次数,所述第一目标次数表征为在第一时间内所述目标主机在第一识别时长内发送有目标邮件的次数;基于所述第一目标次数,确定所述目标主机在所述第一时间内是否发送有目标邮件。上述方案中,所述基于所述第一目标次数,确定所述目标主机在所述第一时间内是否发送有目标邮件,包括:如果第一时间内所述目标主机在所述第一识别时长内发送有目标邮件的次数达到第二阈值,则确定所述目标主机在所述第一时间内发送有目标邮件。上述方案中,所述基于第二目标数据,确定所述目标主机在所述第一时间内是否发送目标邮件,包括:从第二目标数据中提取出表征为目标主机发送预定邮件的数据,所述预定邮件表征为目的地址为外网地址且目的端口为预定端口的邮件;基于所提取的数据,获得第二识别时长内所述目标主机由于发送所述预定邮件而建立的通信连接的次数、以及所述目标主机发送的预定邮件的目的地址的数量;基于第二识别时长内所述目标主机由于发送所述预定邮件而建立的通信连接的次数、以及所述目标主机发送的预定邮件的目的地址的数量,确定所述目标主机在所述第二识别时长内是否发送有目标邮件;获得第二目标次数,所述第二目标次数表征为在第一时间内所述目标主机在第二识别时长内发送有目标邮件的次数;基于所述第二目标次数,确定所述目标主机在所述第一时间内是否发送有目标邮件。上述方案中,所述基于所述第二目标次数,确定所述目标主机在所述第一时间内是否发送有目标邮件,包括:如果第一时间内所述目标主机在所述第二识别时长内发送有目标邮件的次数达到第三阈值,则确定所述目标主机在所述第一时间内发送有目标邮件。上述方案中,所述方法还包括:在确定所述目标主机在所述第一时间内发送有目标邮件的情况下,确定所述目标主机在第一时间内被攻击。本申请实施例还提供一种检测设备,包括:第一获得单元,用于获得至少一个主机在第一时间内产生的邮件相关数据,所述邮件相关数据表征为与主机发送外网邮件相关的数据;识别单元,用于基于所述邮件相关数据,从所述至少一个主机中识别目标主机,所述目标主机为发送有外网加密邮件的主机;第二获得单元,用于获得目标主机的第一目标数据和/或第二目标数据,其中所述第一目标数据表征为与发送外网邮件相关的邮件交换记录数据,第二目标数据表征与发送外网邮件相关的网络流量数据;确定单元,用于基于第一目标数据和/或第二目标数据,确定所述目标主机在所述第一时间内是否发送目标邮件,所述目标邮件表征为外网加密垃圾邮件。本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述检测方法的步骤。本申请实施例还提供一种检测设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现前述检测方法的步骤。本申请实施例提供一种检测方法、设备及计算机存储介质,其中所述方法包括:所述方法包括:获得至少一个主机在第一时间内产生的邮件相关数据,所述邮件相关数据表征为与主机发送外网邮件相关的数据;基于所述邮件相关数据,从所述至少一个主机中识别目标主机,所述目标主机为发送有外网加密邮件的主机;获得目标主机的第一目标数据和/或第二目标数据,其中所述第一目标数据表征为与发送外网邮件相关的邮件交换记录数据,第二目标数据表征与发送外网邮件相关的网络流量数据;基于第一目标数据和/或第二目标数据,确定所述目标主机在所述第一时间内是否发送目标邮件,所述目标邮件表征为外网加密垃圾邮件。本申请实施例中,基于与发送外网邮件相关的数据(邮件相关数据)进行目标主机(发送有外网加密邮件的主机)的识别,并基于与发送外网邮件相关的邮件交换记录数据(第一目标数据)和/或与发送外网邮件相关的网络流量数据(第二目标数据)来确定识别出的目标主机是否在第一时间内发送有外网加密垃圾邮件。这种检测向外发送加密垃圾邮件的主机的方案,无需使用大量的解密算法尝试进行解密,也无需采集正常正文内容样本,基于邮件相关数据和邮件交换记录数据,邮件相关数据和网络流量数据,或者邮件相关数据、邮件相关数据和邮件交换记录数据即可实现主机是否是在第一时间内向外网发送加密垃圾邮件的主机的检测,方案计本文档来自技高网...
【技术保护点】
1.一种检测方法,其特征在于,所述方法包括:/n获得至少一个主机在第一时间内产生的邮件相关数据,所述邮件相关数据表征为与主机发送外网邮件相关的数据;/n基于所述邮件相关数据,从所述至少一个主机中识别目标主机,所述目标主机为发送有外网加密邮件的主机;/n获得目标主机的第一目标数据和/或第二目标数据,其中所述第一目标数据表征为与发送外网邮件相关的邮件交换记录数据,第二目标数据表征与发送外网邮件相关的网络流量数据;/n基于第一目标数据和/或第二目标数据,确定所述目标主机在所述第一时间内是否发送目标邮件,所述目标邮件表征为外网加密垃圾邮件。/n
【技术特征摘要】
1.一种检测方法,其特征在于,所述方法包括:
获得至少一个主机在第一时间内产生的邮件相关数据,所述邮件相关数据表征为与主机发送外网邮件相关的数据;
基于所述邮件相关数据,从所述至少一个主机中识别目标主机,所述目标主机为发送有外网加密邮件的主机;
获得目标主机的第一目标数据和/或第二目标数据,其中所述第一目标数据表征为与发送外网邮件相关的邮件交换记录数据,第二目标数据表征与发送外网邮件相关的网络流量数据;
基于第一目标数据和/或第二目标数据,确定所述目标主机在所述第一时间内是否发送目标邮件,所述目标邮件表征为外网加密垃圾邮件。
2.根据权利要求1所述的方法,其特征在于,所述基于所述邮件相关数据,从所述至少一个主机中识别目标主机,包括:
基于所述邮件相关数据,判断各个主机发送的外网邮件中是否均存在表征为发件人域名信息的字段;
针对外网邮件中未存在表征发件人域名信息字段的主机,对所述主机发送的未存在表征发件人域名信息字段的外网邮件的数量进行计算;
在计算结果超过第一阈值的情况下,确定所述主机为目标主机。
3.根据权利要求1所述的方法,其特征在于,所述基于第一目标数据,确定所述目标主机在所述第一时间内是否发送目标邮件,包括:
基于第一目标数据,获得第一识别时长内所述目标主机发送外网邮件的次数、以及所述目标主机发送的外网邮件的域名的数量;
基于第一识别时长内所述目标主机发送外网邮件的次数、以及所述目标主机发送的外网邮件的域名的数量,确定所述目标主机在所述第一识别时长内是否发送有目标邮件;
获得第一目标次数,所述第一目标次数表征为在第一时间内所述目标主机在第一识别时长内发送有目标邮件的次数;
基于所述第一目标次数,确定所述目标主机在所述第一时间内是否发送有目标邮件。
4.根据权利要求3所述的方法,其特征在于,所述基于所述第一目标次数,确定所述目标主机在所述第一时间内是否发送有目标邮件,包括:
如果第一时间内所述目标主机在所述第一识别时长内发送有目标邮件的次数达到第二阈值,则确定所述目标主机在所述第一时间内发送有目标邮件。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述基于第二目标数据,确定所述目标主机在所述第一时间内是否发送目标邮件,包括:
从第二目标数据中提取...
【专利技术属性】
技术研发人员:刘书文,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。