本发明专利技术公开了一种异常邮件检测方法、装置、系统与计算机可读存储介质,该方法包括:获取网络流量数据,并根据网络流量数据确定邮件协议数据和超文本传输协议数据;根据邮件协议数据获取对应的邮件内容数据;根据邮件内容数据和超文本传输协议数据获取对应的网页内容数据;根据网页内容数据确定脚本代码数据;将脚本代码数据输入预先创建的检测模型中,通过检测模型确定脚本代码数据对应的邮件是否为异常邮件;本发明专利技术根据邮件协议数据和超文本传输协议数据确定脚本代码数据,并通过检测模型对脚本代码数据进行检测,以确定脚本代码数据对应的邮件是否为异常邮件,提高了检测异常邮件的准确率。件的准确率。件的准确率。
【技术实现步骤摘要】
异常邮件检测方法、装置、系统与计算机可读存储介质
[0001]本专利技术涉及计算机
,尤其涉及异常邮件检测方法、装置、系统与计算机可读存储介质。
技术介绍
[0002]网络异常邮件攻击通常指攻击者通过向用户发送异常邮件来欺骗用户打开邮件中的链接,从而跳转至恶意网站以此骗取用户凭证或者自动下载恶意软件,或者诱使用户打开具有利用漏洞攻击的邮件附件的行为。
[0003]现有的网络异常邮件检测方法大多是逐条对邮件文本内容、邮件中的URL和邮件附件中提取静态特征进行识别检测。从邮件中提取的部分静态特征信息通常是攻击者伪造的,基于伪造的静态特征的检测会导致检测的准确率较低。
[0004]因此,如何提高检测异常邮件的准确率,是急需解决的问题。
技术实现思路
[0005]本专利技术的主要目的在于提出一种异常邮件检测方法、装置、系统与计算机可读存储介质,旨在解决如何提高检测异常邮件的准确率的问题。
[0006]为实现上述目的,本专利技术提供一种异常邮件检测方法,所述异常邮件检测方法包括如下步骤:获取网络流量数据,并根据所述网络流量数据确定邮件协议数据和超文本传输协议数据;根据所述邮件协议数据获取对应的邮件内容数据;根据所述邮件内容数据和所述超文本传输协议数据获取对应的网页内容数据;根据所述网页内容数据确定脚本代码数据;将所述脚本代码数据输入预先创建的检测模型中,通过所述检测模型确定所述脚本代码数据对应的邮件是否为异常邮件。
[0007]可选地,根据所述邮件内容数据和所述超文本传输协议数据获取对应的网页内容数据的步骤包括:获取所述邮件内容数据中的第一资源定位符,并将所述第一资源定位符存储在存储系统中;获取所述超文本传输协议数据中的第二资源定位符,并将所述第二资源定位符与所述存储系统中所有第一资源定位符进行对比;若确定所述存储系统中存在有与所述第二资源定位符相同的第一资源定位符,则根据所述第二资源定位符获取对应的网页内容数据。
[0008]可选地,根据所述第二资源定位符获取对应的网页内容数据的步骤包括:根据所述第二资源定位符确定所述超文本传输协议数据中的第一标识请求响应字段;
根据所述标识请求响应字段确定所述超文本传输协议数据中的第一网页存储路径字段;根据所述第一网页存储路径字段获取对应的网页内容数据。
[0009]可选地,脚本代码数据包括脚本代码段和脚本代码文件,所述根据所述网页内容数据确定脚本代码数据的步骤包括:获取所述网页内容数据中预设类型的标签数据,并识别所述标签数据中是否存在预设字段;若所述标签数据中不存在预设字段,则根据所述标签数据确定所述脚本代码段;若所述标签数据中存在预设字段,则获取所述预设字段的第三资源定位符,并将所述第三资源定位符存储在存储系统中;将所述第二资源定位符与所述存储系统中所有第三资源定位符进行对比;若确定所述存储系统中存在有与所述第二资源定位符相同的第三资源定位符,则根据所述第二资源定位符获取所述脚本代码文件。
[0010]可选地,根据所述第二资源定位符获取所述脚本代码文件的步骤包括:根据所述第二资源定位符确定所述超文本传输协议数据中的第二标识请求响应字段;根据所述第二标识请求响应字段确定所述超文本传输协议数据中的第二网页存储路径字段;根据所述第二网页存储路径字段获取所述脚本代码文件。
[0011]可选地,将所述脚本代码数据输入预先创建的检测模型中,通过所述检测模型确定所述脚本代码段对应的邮件是否为异常邮件的步骤包括:将所述脚本代码段输入所述检测模型,若通过所述检测模型确定所述脚本代码段对应的邮件为异常邮件,则发出告警信息;若所述通过所述检测模型确定所述脚本代码段对应的邮件不为异常邮件,则将所述脚本代码文件输入所述检测模型;若通过所述检测模型确定所述脚本代码文件对应的邮件为异常邮件,则发出告警信息。
[0012]可选地,获取网络流量数据,并根据所述网络流量数据确定邮件协议数据和超文本传输协议数据的步骤之前,包括:获取无标签历史脚本代码数据和有标签历史脚本代码数据;对所述无标签历史脚本代码数据进行预设操作,得到第一训练数据集;对所述有标签历史脚本代码数据进行预设操作,得到第二训练数据集和测试数据集;根据所述第一训练数据集和所述第二训练数据集确定令牌词向量集合;根据所述令牌词向量集合和所述第二训练数据集进行模型训练,得到深度学习模型;根据所述测试数据集对所述深度学习模型进行模型测试,以得到所述检测模型。
[0013]此外,为实现上述目的,本专利技术还提供一种异常邮件检测装置,所述异常邮件检测装置包括:
第一获取模块,用于获取网络流量数据,并根据所述网络流量数据确定邮件协议数据和超文本传输协议数据;第二获取模块,用于根据所述邮件协议数据获取对应的邮件内容数据;第三获取模块,用于根据所述邮件内容数据和所述超文本传输协议数据获取对应的网页内容数据;确定模块,用于根据所述网页内容数据确定脚本代码数据;检测模块,用于将所述脚本代码数据输入预先创建的检测模型中,通过所述检测模型确定所述脚本代码数据对应的邮件是否为异常邮件。
[0014]进一步地,所述第二获取模块还用于:获取所述邮件内容数据中的第一资源定位符,并将所述第一资源定位符存储在存储系统中;获取所述超文本传输协议数据中的第二资源定位符,并将所述第二资源定位符与所述存储系统中所有第一资源定位符进行对比;若确定所述存储系统中存在有与所述第二资源定位符相同的第一资源定位符,则根据所述第二资源定位符获取对应的网页内容数据。
[0015]进一步地,所述第二获取模块还用于:根据所述第二资源定位符确定所述超文本传输协议数据中的第一标识请求响应字段;根据所述标识请求响应字段确定所述超文本传输协议数据中的第一网页存储路径字段;根据所述第一网页存储路径字段获取对应的网页内容数据。
[0016]进一步地,所述确定模块还用于:获取所述网页内容数据中预设类型的标签数据,并识别所述标签数据中是否存在预设字段;若所述标签数据中不存在预设字段,则根据所述标签数据确定所述脚本代码段;若所述标签数据中存在预设字段,则获取所述预设字段的第三资源定位符,并将所述第三资源定位符存储在存储系统中;将所述第二资源定位符与所述存储系统中所有第三资源定位符进行对比;若确定所述存储系统中存在有与所述第二资源定位符相同的第三资源定位符,则根据所述第二资源定位符获取所述脚本代码文件。
[0017]进一步地,所述确定模块还用于:根据所述第二资源定位符确定所述超文本传输协议数据中的第二标识请求响应字段;根据所述第二标识请求响应字段确定所述超文本传输协议数据中的第二网页存储路径字段;根据所述第二网页存储路径字段获取所述脚本代码文件。
[0018]进一步地,所述检测模块还用于:将所述脚本代码段输入所述检测模型,若通过所述检测模型确定所述脚本代码段对应的邮件为异常邮件,则发出告警信息;
若所述通过所述检测模型确定所述脚本代码段对应的邮件不为异常邮件,则将所述脚本代码文件输入所述检测模型;若通过所述检测模型确定所述脚本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种异常邮件检测方法,其特征在于,所述异常邮件检测方法包括如下步骤:获取网络流量数据,并根据所述网络流量数据确定邮件协议数据和超文本传输协议数据;根据所述邮件协议数据获取对应的邮件内容数据;根据所述邮件内容数据和所述超文本传输协议数据获取对应的网页内容数据;根据所述网页内容数据确定脚本代码数据;将所述脚本代码数据输入预先创建的检测模型中,通过所述检测模型确定所述脚本代码数据对应的邮件是否为异常邮件。2.如权利要求1所述的异常邮件检测方法,其特征在于,所述根据所述邮件内容数据和所述超文本传输协议数据获取对应的网页内容数据的步骤包括:获取所述邮件内容数据中的第一资源定位符,并将所述第一资源定位符存储在存储系统中;获取所述超文本传输协议数据中的第二资源定位符,并将所述第二资源定位符与所述存储系统中所有第一资源定位符进行对比;若确定所述存储系统中存在有与所述第二资源定位符相同的第一资源定位符,则根据所述第二资源定位符获取对应的网页内容数据。3.如权利要求2所述的异常邮件检测方法,其特征在于,所述根据所述第二资源定位符获取对应的网页内容数据的步骤包括:根据所述第二资源定位符确定所述超文本传输协议数据中的第一标识请求响应字段;根据所述标识请求响应字段确定所述超文本传输协议数据中的第一网页存储路径字段;根据所述第一网页存储路径字段获取对应的网页内容数据。4.如权利要求2中所述的异常邮件检测方法,其特征在于,所述脚本代码数据包括脚本代码段和脚本代码文件,所述根据所述网页内容数据确定脚本代码数据的步骤包括:获取所述网页内容数据中预设类型的标签数据,并识别所述标签数据中是否存在预设字段;若所述标签数据中不存在预设字段,则根据所述标签数据确定所述脚本代码段;若所述标签数据中存在预设字段,则获取所述预设字段的第三资源定位符,并将所述第三资源定位符存储在存储系统中;将所述第二资源定位符与所述存储系统中所有第三资源定位符进行对比;若确定所述存储系统中存在有与所述第二资源定位符相同的第三资源定位符,则根据所述第二资源定位符获取所述脚本代码文件。5.如权利要求4所述的异常邮件检测方法,其特征在于,所述根据所述第二资源定位符获取所述脚本代码文件的步骤包括:根据所述第二资源定位符确定所述超文本传输协议数据中的第二标识请求响应字段;根据所述第二标识请求响应字段确定所述超文本传输协议数据中的第二...
【专利技术属性】
技术研发人员:于金龙,卯路宁,王智民,王高杰,
申请(专利权)人:北京六方云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。