【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种检测邮件攻击的方法、装置及设备。
技术介绍
邮件攻击,也称为“邮件炸弹攻击”,英文是E-Mail Bomb,是一种攻击电子邮件(E-mail)邮箱(下文简称电子邮箱)的手段,通过短时间内向目标电子邮箱连续发送垃圾邮件的方式,使该目标电子邮箱容量达到上限而没有多余的空间来容纳新的电子邮件(下文简称为邮件)。并且,发生邮件攻击时,垃圾邮件在网络中传输会消耗大量的网络资源,从而可能引起网络堵塞,导致其他大量的电子邮箱无法正常接收和发送邮件,同时也会给邮件服务器造成负担。发生邮件攻击时,邮件服务器所接收的邮件流量往往会出现异常,而一般邮件服务器是通过特定端口(例如,端口 25)接收邮件的,因此,在检测是否发生邮件攻击时,通常先针对邮件服务器的特定端口进行流量统计,当一定时间内邮件流量超过预设的流量阈值时,就认为发生了邮件攻击,并对邮件服务器的特定端口的流量进行限制。采用这种检测邮件攻击的方式时,由于邮件服务器的特定端口除了接收邮件以夕卜,还会接收其他的数据,因此针对邮件服务器的特定端口进行流量统计时,所统计的流量中可能包含除邮件流...
【技术保护点】
一种检测邮件攻击的方法,其特征在于,包括:接收数据流;获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。
【技术特征摘要】
1.一种检测邮件攻击的方法,其特征在于,包括: 接收数据流; 获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数; 当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。2.如权利要求1所述的方法,其特征在于,所述根据接收到的数据流的协议类型确定所述每个统计周期内的邮件流量参数,包括: 分析所述每个统计周期内接收到的数据流的协议类型; 当所述协议类型属于邮件协议类型时,确定所述数据流为邮件; 根据确定的邮件获得所述每个统计周期内的邮件流量参数。3.如权利要求1或2所述的方法,其特征在于,所述邮件流量参数包括: 邮件数量;或 新建的用于传输邮件的简单邮件传输协议SMTP连接数;或 用于传输邮件的SMTP并发连接增加数。4.如权利要求1至3中任一权利要求所述的方法,其特征在于,在所述确定检测到邮件攻击之后,还包括: 获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址; 统计获得的每个收件人邮箱地址在所述每个检测周期的出现次数; 将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址。5.如权利要求4所述的方法,其特征在于,还包括: 在所述获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人网络协议IP地址; 建立所述每个检测周期中收件人邮箱地址和发件人IP地址的对应关系; 在所述将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址之后,还包括: 根据所述对应关系统计所述目标地址对应的每个发件人IP地址的出现次数; 将出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。6.一种检测邮件攻击的装置,其特征在于,包括: 接收单元,用于接收数据流; 第一获得单元,用于获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述接收单元接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数; 确定单元,用于当所述第一获得单元获得的预定数目个统计周期内每个统计周期内的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。7.如权利要求6所述的装置,其特征在于,所述第一获得单元包括: 协议类型分析子单元,用于在每个统计周期内,分析所述每个统计周期内接收到的数据流的协议类型;邮件确定子单元,用于当所述协议类型分析子单元分析出的数据流的协议类型属于邮件协议类型时,确定所述数据流为邮件; 参数获得子单元,用于根据所述邮件确定子单元所确定的邮件获得所述每个统计周期内的邮件流量参数。8.如权利要求6或7所述的装置,其特征在于,还包括: 第...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。