邮件威胁检测方法、系统、设备及计算机可读存储介质技术方案

本申请实施例提供了一种邮件威胁检测方法，所述方法包括：接收目标邮件，并解析目标邮件以得到所述目标邮件的目标元数据；判断目标元数据中是否包括预设检测对象的元数据，所述预设检测对象包括附件和/或正文内链接；若目标元数据包括所述预设检测对象的元数据，则执行动态检测操作以得到动态检测结果，动态检测操作包括通过沙箱运行目标邮件，以检测所述目标邮件是否具有攻击行为；执行静态检测操作以得到静态检测结果，所述静态检测操作包括检测所述目标元数据中是否存在威胁信息；及根据静态检测结果和/或所述动态检测结果，判断目标邮件是否为具有威胁的邮件。本实发明专利技术实施例，提高了对邮件中威胁信息和/或攻击行为的检测范围和准确率。范围和准确率。范围和准确率。

Mail threat detection method, system, equipment and computer readable storage medium

【技术实现步骤摘要】
邮件威胁检测方法、系统、设备及计算机可读存储介质


[0001]本申请实施例涉及邮件攻击检测领域，尤其涉及一种邮件威胁检测方法、系统、设备及计算机可读存储介质。

技术介绍

[0002]电子邮件作为当今互联网应用最广泛的服务之一，已经成为人们日常生活中不可缺少的通信工具。电子邮件可以是文字、图像、声音和链接等多种形式。但是，内容形式的多样化，增加了电子邮件的安全隐患。
[0003]如何对邮件进行安全检测开始受到人们的关注。本专利技术人发现，传统的威胁检测方法具体以下缺陷：无法覆盖和追踪邮件中的高级威胁，比如邮件正文链接或邮件附件中可能带有的各类攻击内容。因此，如何深入挖掘邮件正文或邮件附件中的威胁信息，成为了当前亟需解决的技术问题。

技术实现思路

[0004]本申请实施例的目的是提供一种邮件威胁检测方法、系统、计算机设备及计算机可读存储介质，用于解决现有邮件检测无法覆盖和追踪邮件中的高级威胁比如邮件正文链接或邮件附件中可能带有的各类攻击内容的问题，以及解决无法深入挖掘邮件正文或邮件附件中的威胁信息的技术问题。
[00本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种邮件威胁检测方法，其特征在于，所述方法包括：接收目标邮件，并解析所述目标邮件以得到所述目标邮件的目标元数据；判断所述目标元数据中是否包括预设检测对象的元数据，所述预设检测对象包括附件和/或正文内链接；若所述目标元数据包括所述预设检测对象的元数据，则执行动态检测操作以得到动态检测结果，所述动态检测操作包括通过沙箱运行所述目标邮件，以检测所述目标邮件是否具有攻击行为；执行静态检测操作以得到静态检测结果，所述静态检测操作包括检测所述目标元数据中是否存在威胁信息；及根据所述静态检测结果和/或所述动态检测结果，判断所述目标邮件是否为具有威胁的邮件。2.根据权利要求1所述的邮件威胁检测方法，其特征在于，当所述预设检测对象包括所述正文内链接；所述执行静态检测操作以得到静态检测结果的步骤，包括从所述目标元数据中提取所述正文内链接的链接地址；及对所述链接地址进行大数据关联查询，并基于所述关联查询结果判断所述正文内链接是否为恶意链接。3.根据权利要求1所述的邮件威胁检测方法，其特征在于，当所述预设检测对象包括所述正文内链接；所述执行静态检测操作以得到静态检测结果的步骤，包括从所述目标元数据中提取所述正文内链接的链接地址；及从所述链接地址中获取多个链接地址特征，根据所述多个链接地址特征判断所述正文内链接是否为恶意链接；其中，所述多个链接地址特征包括以下一个或多个：域名层数、域名中字符、数据分布、路径层数、参数个数和链接长度。4.根据权利要求1所述的邮件威胁检测方法，其特征在于，当所述预设检测对象包括所述正文内链接，所述正文内链接包括云附件链接，且所述云附件链接以附件图标存在于所述目标邮件的邮件正文中；所述执行静态检测操作以得到静态检测结果的步骤，包括：获取所述云附件链接的多个链接特征，所述多个链接特征包括以下一个或多个：是否为预设图片类型、是否包括图片的尺寸数据、是否包括图片的尺寸范围数据、文字信息是否与所述云附件链接指向的文件相匹配；根据所述链接特征，判断所述云附件链接是否为恶意链接。5.根据权利要求4所述的邮件威胁检测方法，其特征在于，根据所述链接特征，判断所述云附件链接是否为恶意链接的步骤，包括：根据所述链接特征生成所述链接特征的特征向量；计算所述特征向量和预设规则库中的各个规则向量之间的匹配度，以得到多个匹配值；所述预设规则库包括多个恶意链接判定规则，每个恶意链接判定规则对应的一个规则向量；及
根据所述多个匹配值判断所述云附件链接是否为恶意链接。6.根据权利要求1所述的邮件威胁检测方法，其特征在于，所述执行静态检测操作以得到静态检测结果的步骤，包括：当所述目标邮件为订单类邮件时，则从所述目标元数据中提取超链接或图片数据；根据所述超链接的结构或所述图片数据对应的图片的结构，生成相应的目标向量，所述目标向量包括超链接向量或图片向量；计算所述目标向量和预设规则库中的各个规则向量之间的相似度，以得到多个相似度，其中，每个规则向量对应的一个预设规则；根据所述多个相似度，判断所述邮件正文是否包括所述威胁信息；及若所述邮件正文包括所述威胁信息，则根据所述多个相似度判断所述威胁信息的威胁类型。7.根据权利要求6所述的邮件威胁检测方法，其特征在于，所述执行静态检测操作以得到静态检测结果的步骤，还包括：当所述超链接包括多个跳转链接时，则解析所述超链接；根据所述超链接的解析结果，获取所述多个跳转链接之间的调用关系；根据所述超链接的解析结果，判断各个跳转链接涉及的域名是否位于白名单中；及根据所述多个跳转链接之间的调用关系和/或所述各个跳转链接涉及的域名是否位于所述白名单中，确定所述超链接是否为具有威胁的链接。8.根据权...

【专利技术属性】
技术研发人员：白敏，刘爽，白皓文，汪列军，齐向东，吴云坤，
申请(专利权)人：网神信息技术北京股份有限公司，
类型：发明
国别省市：