【技术实现步骤摘要】
检测方法及检测设备、存储介质
本申请涉及检测技术,具体涉及一种检测方法及检测设备、计算机存储介质。
技术介绍
在网络安全技术中,如果存在主机被非法用户如黑客攻击的情况下,被攻击的主机会变成肉机。被攻击的主机会产生一系列的非合理行为,如会发送大量的垃圾邮件,而且该垃圾邮件还会被加密。为方便理解,将本申请涉及到的被加密的垃圾邮件简称为加密垃圾邮件。相关技术中,为防止肉机向外网发送大量加密垃圾邮件而给外网设备造成的伤害,通常采用如下方案来检测向外网发送加密垃圾邮件的主机。先解密待检测主机向外发送的邮件,通过对发送的邮件是否能够被解密来识别其是否被加密,如果是加密邮件则识别正文内容,通过正文内容来识别其是否是垃圾邮件。其中,对发送的邮件进行解密需要使用不同的解密算法尝试去解密,工程量较大,耗费成本较高。而在垃圾邮件识别的方案中,多数情况下如果将解析出的邮件正文内容与正常正文内容不一致则认为是垃圾邮件,这种方法,如果采集或收集的正常正文内容样本不够丰富,则容易产生错误检测或漏掉检测的情形。
技术实现思路
为解决现有存在的技术问题,本申请实施例提供一种检测方法、设备及计算机存储介质。本申请实施例的技术方案是这样实现的:本申请实施例提供一种检测方法,所述方法包括:获得至少一个主机在第一时间内产生的邮件相关数据,所述邮件相关数据表征为与主机发送外网邮件相关的数据;基于所述邮件相关数据,从所述至少一个主机中识别目标主机,所述目标主机为发送有外网加密邮件的主机;获得目标主机的第一目标数 ...
【技术保护点】
1.一种检测方法,其特征在于,所述方法包括:/n获得至少一个主机在第一时间内产生的邮件相关数据,所述邮件相关数据表征为与主机发送外网邮件相关的数据;/n基于所述邮件相关数据,从所述至少一个主机中识别目标主机,所述目标主机为发送有外网加密邮件的主机;/n获得目标主机的第一目标数据和/或第二目标数据,其中所述第一目标数据表征为与发送外网邮件相关的邮件交换记录数据,第二目标数据表征与发送外网邮件相关的网络流量数据;/n基于第一目标数据和/或第二目标数据,确定所述目标主机在所述第一时间内是否发送目标邮件,所述目标邮件表征为外网加密垃圾邮件。/n
【技术特征摘要】
1.一种检测方法,其特征在于,所述方法包括:
获得至少一个主机在第一时间内产生的邮件相关数据,所述邮件相关数据表征为与主机发送外网邮件相关的数据;
基于所述邮件相关数据,从所述至少一个主机中识别目标主机,所述目标主机为发送有外网加密邮件的主机;
获得目标主机的第一目标数据和/或第二目标数据,其中所述第一目标数据表征为与发送外网邮件相关的邮件交换记录数据,第二目标数据表征与发送外网邮件相关的网络流量数据;
基于第一目标数据和/或第二目标数据,确定所述目标主机在所述第一时间内是否发送目标邮件,所述目标邮件表征为外网加密垃圾邮件。
2.根据权利要求1所述的方法,其特征在于,所述基于所述邮件相关数据,从所述至少一个主机中识别目标主机,包括:
基于所述邮件相关数据,判断各个主机发送的外网邮件中是否均存在表征为发件人域名信息的字段;
针对外网邮件中未存在表征发件人域名信息字段的主机,对所述主机发送的未存在表征发件人域名信息字段的外网邮件的数量进行计算;
在计算结果超过第一阈值的情况下,确定所述主机为目标主机。
3.根据权利要求1所述的方法,其特征在于,所述基于第一目标数据,确定所述目标主机在所述第一时间内是否发送目标邮件,包括:
基于第一目标数据,获得第一识别时长内所述目标主机发送外网邮件的次数、以及所述目标主机发送的外网邮件的域名的数量;
基于第一识别时长内所述目标主机发送外网邮件的次数、以及所述目标主机发送的外网邮件的域名的数量,确定所述目标主机在所述第一识别时长内是否发送有目标邮件;
获得第一目标次数,所述第一目标次数表征为在第一时间内所述目标主机在第一识别时长内发送有目标邮件的次数;
基于所述第一目标次数,确定所述目标主机在所述第一时间内是否发送有目标邮件。
4.根据权利要求3所述的方法,其特征在于,所述基于所述第一目标次数,确定所述目标主机在所述第一时间内是否发送有目标邮件,包括:
如果第一时间内所述目标主机在所述第一识别时长内发送有目标邮件的次数达到第二阈值,则确定所述目标主机在所述第一时间内发送有目标邮件。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述基于第二目标数据,确定所述目标主机在所述第一时间内是否发送目标邮件,包括:
从第二目标数据中提取...
【专利技术属性】
技术研发人员:刘书文,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。