【技术实现步骤摘要】
本专利技术涉及邮件安全检测领域,特别是涉及一种邮件安全检测装置、方法、设备及存储介质。
技术介绍
1、随着电子邮件的广泛应用,钓鱼邮件成为了一个日益严重的网络安全威胁。钓鱼邮件是指冒充合法实体发送的虚假电子邮件,通常以欺骗受信任的收件人为目的,诱导他们泄露个人敏感信息、点击恶意链接或下载恶意附件。钓鱼邮件不仅对个人隐私和财产安全构成威胁,还可能对企业和组织的机密信息和商业利益造成重大损失。
2、传统的钓鱼邮件检测技术仅仅关注某些特定的邮件特征,如邮件主题或附件类型,而忽视了其他重要的行为模式。这限制了检测技术的准确性和全面性,难以识别高度仿真的钓鱼邮件。
技术实现思路
1、有鉴于此,本专利技术的目的在于提供一种邮件安全检测装置、方法、设备及存储介质,可以高效识别出可疑钓鱼邮件,提高钓鱼邮件检测的准确性和效率,为用户提供有效的邮件安全保护。其具体方案如下:
2、一种邮件安全检测装置,包括:
3、邮件特征提取模块,用于采集并提取邮件的发件人和收件人的行为特征,以及邮件主体特征;
4、行为特征分析模块,用于对提取的所述发件人和收件人的行为特征进行综合分析,识别可疑钓鱼邮件;
5、主体特征分析模块,用于对提取的所述邮件主体特征进行检测和分析,识别可疑钓鱼邮件;
6、邮件过滤警报模块,用于对所述行为特征分析模块和/或所述主体特征分析模块识别的可疑钓鱼邮件进行过滤和实时告警推送。
7、优选地,在本专利技术实施例
8、邮件数据采集单元,用于连接邮件备份服务器,轮询拉取邮件数据;
9、邮件特征提取单元,用于对所述邮件数据进行处理,提取出所述邮件数据对应的发件人和收件人的行为特征,以及邮件主体特征,并经过kafka实时传输至数据库中。
10、优选地,在本专利技术实施例提供的上述邮件安全检测装置中,所述行为特征分析模块包括:
11、邮件发送频率特征分析单元,用于从发件人的行为特征中获取同一发件人在第一设定时间段内发送相似邮件主题给多个收件人的数量,若获取的所述数量超过设定数量阈值,则将同一发件人在所述第一设定时间段内发送的相似邮件视为可疑钓鱼邮件;
12、邮件发件人信任度特征分析单元,用于从发件人的行为特征中获取第二设定时间段内发送相同邮件主题的不同发件人域名的平均差异程度,根据获取的所述平均差异程度,得到发件人的信任度,若发件人的信任度低于设定信任度阈值,则将发件人在所述第二设定时间段内发送的邮件视为可疑钓鱼邮件;
13、统计发件人历史行为分析单元,用于从发件人的行为特征中获取发件人的历史邮件记录,若发件人是新注册的、无历史邮件记录或与多个不相关收件人进行邮件交互,则将发件人发送的邮件视为可疑钓鱼邮件。
14、优选地,在本专利技术实施例提供的上述邮件安全检测装置中,所述邮件发件人信任度特征分析单元,具体用于将所述第二时间段内发送相同邮件主题的不同发件人域名拼接成一个字符串;统计所述字符串中每个字符出现的频次,并获得每个字符在字符串中出现的位置;计算每个字符的位置与平均位置之间差值的平方,并加入差值列表中;对所述差值列表中的所有字符求和,得到总的差异程度;将所述总的差异程度除以列表长度,获取所述平均差异程度。
15、优选地,在本专利技术实施例提供的上述邮件安全检测装置中,所述行为特征分析模块还包括:
16、收件人行为模式分析单元,用于对收件人的行为特征中获取收件人的行为模式,对收件人的行为模式进行分析,以识别收件人收到的邮件是否是可疑钓鱼邮件;
17、收件内容关联性分析单元,用于对收件人的邮件内容做关联性分析,通过比较当前邮件的主题与之前邮件主题的相似度,识别出可疑钓鱼邮件的主题内容。
18、优选地,在本专利技术实施例提供的上述邮件安全检测装置中,所述主体特征分析模块包括:
19、url分析单元,用于从所述邮件主体特征中获取url,判断获取的所述url是否是诈骗网站url;若是,则将获取的所述url对应的邮件视为可疑钓鱼邮件;
20、spf记录分析单元,用于从所述邮件主体特征中获取发件人域名的spf记录,解析获取的所述spf记录,得到授权服务器列表,判断检测发送邮件的服务器是否位于发件人域名的所述授权服务器列表中;若否,则将所述服务器发送的邮件视为可疑钓鱼邮件;
21、附件分析单元,用于检测邮件中附件的文件扩展名,若所述文件扩展名与文本文件类型不匹配,则将所述附件视为风险附件;还用于使用反病毒引擎或恶意软件检测工具来扫描可执行文件附件,以识别所述可执行文件附件是否包含恶意代码;还用于对邮件中附件名称进行敏感内容检测,若所述附件名称涉及敏感词汇或与钓鱼相关的内容,则将邮件视为可疑钓鱼邮件;还用于检测附件的md5哈希值或文件特征,以确定附件是否已被识别为恶意文件;
22、smtp mta特征分析单元,用于解析邮件头,获得发件人及链路上的smtp mta的相关信息,若发件人域名没有icp备案,则发件人发送的邮件视为可疑钓鱼邮件;
23、威胁情报分析单元,用于将采集到的邮件主题和预先构造的所述钓鱼邮件关键词词库进行相似度检测,以识别出可疑钓鱼邮件。
24、优选地,在本专利技术实施例提供的上述邮件安全检测装置中,所述邮件过滤警报模块包括:
25、邮件过滤单元,用于根据设定策略对所述行为特征分析模块和/或所述主体特征分析模块识别的可疑钓鱼邮件进行筛选处理,筛选出可视为真实钓鱼邮件的可疑钓鱼邮件;
26、威胁检测单元,用于获取筛选出的所述真实钓鱼邮件的安全风险程度;
27、警报单元,用于将筛选出的所述真实钓鱼邮件及其安全风险程度实时告警推送至相关人员。
28、本专利技术实施例还提供了一种邮件安全检测方法,包括:
29、利用邮件特征提取模块采集并提取邮件的发件人和收件人的行为特征,以及邮件主体特征;
30、利用行为特征分析模块对提取的所述发件人和收件人的行为特征进行综合分析,识别可疑钓鱼邮件;
31、利用主体特征分析模块对提取的所述邮件主体特征进行检测和分析,识别可疑钓鱼邮件;
32、利用邮件过滤警报模块对所述行为特征分析模块和/或所述主体特征分析模块识别的可疑钓鱼邮件进行过滤和实时告警推送。
33、本专利技术实施例还提供了一种邮件安全检测设备,包括处理器和存储器,其中,所述处理器执行所述存储器中存储的计算机程序时实现如本专利技术实施例提供的上述邮件安全检测方法。
34、本专利技术实施例还提供了一种计算机可读存储介质,用于存储计算机程序,其中,所述计算机程序被处理器执行时实现如本专利技术实施例提供的上述邮件安全检测方法。
35、从上述技术方案可以看出,本专利技术所提供的一种邮件安全检测装置,包括:邮件特征提取模块,用于采集并提取邮件本文档来自技高网...
【技术保护点】
1.一种邮件安全检测装置,其特征在于,包括:
2.根据权利要求1所述的邮件安全检测装置,其特征在于,所述邮件特征提取模块包括:
3.根据权利要求1所述的邮件安全检测装置,其特征在于,所述行为特征分析模块包括:
4.根据权利要求3所述的邮件安全检测装置,其特征在于,所述邮件发件人信任度特征分析单元,具体用于将所述第二时间段内发送相同邮件主题的不同发件人域名拼接成一个字符串;统计所述字符串中每个字符出现的频次,并获得每个字符在字符串中出现的位置;计算每个字符的位置与平均位置之间差值的平方,并加入差值列表中;对所述差值列表中的所有字符求和,得到总的差异程度;将所述总的差异程度除以列表长度,获取所述平均差异程度。
5.根据权利要求3所述的邮件安全检测装置,其特征在于,所述行为特征分析模块还包括:
6.根据权利要求1所述的邮件安全检测装置,其特征在于,所述主体特征分析模块包括:
7.根据权利要求1所述的邮件安全检测装置,其特征在于,所述邮件过滤警报模块包括:
8.一种邮件安全检测方法,其特征在于,包括:p>
9.一种邮件安全检测设备,其特征在于,包括处理器和存储器,其中,所述处理器执行所述存储器中存储的计算机程序时实现如权利要求8所述的邮件安全检测方法。
10.一种计算机可读存储介质,其特征在于,用于存储计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求8所述的邮件安全检测方法。
...【技术特征摘要】
1.一种邮件安全检测装置,其特征在于,包括:
2.根据权利要求1所述的邮件安全检测装置,其特征在于,所述邮件特征提取模块包括:
3.根据权利要求1所述的邮件安全检测装置,其特征在于,所述行为特征分析模块包括:
4.根据权利要求3所述的邮件安全检测装置,其特征在于,所述邮件发件人信任度特征分析单元,具体用于将所述第二时间段内发送相同邮件主题的不同发件人域名拼接成一个字符串;统计所述字符串中每个字符出现的频次,并获得每个字符在字符串中出现的位置;计算每个字符的位置与平均位置之间差值的平方,并加入差值列表中;对所述差值列表中的所有字符求和,得到总的差异程度;将所述总的差异程度除以列表长度,获取所述平均差异程度。
【专利技术属性】
技术研发人员:范如,马世林,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。