本发明专利技术实施例公开了一种检测邮件攻击的方法、装置及设备,该方法包括:接收数据流;获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。应用本发明专利技术实施例,可以使邮件攻击的检测结果更为准确。
【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种检测邮件攻击的方法、装置及设备。
技术介绍
邮件攻击,也称为“邮件炸弹攻击”,英文是E-Mail Bomb,是一种攻击电子邮件(E-mail)邮箱(下文简称电子邮箱)的手段,通过短时间内向目标电子邮箱连续发送垃圾邮件的方式,使该目标电子邮箱容量达到上限而没有多余的空间来容纳新的电子邮件(下文简称为邮件)。并且,发生邮件攻击时,垃圾邮件在网络中传输会消耗大量的网络资源,从而可能引起网络堵塞,导致其他大量的电子邮箱无法正常接收和发送邮件,同时也会给邮件服务器造成负担。发生邮件攻击时,邮件服务器所接收的邮件流量往往会出现异常,而一般邮件服务器是通过特定端口(例如,端口 25)接收邮件的,因此,在检测是否发生邮件攻击时,通常先针对邮件服务器的特定端口进行流量统计,当一定时间内邮件流量超过预设的流量阈值时,就认为发生了邮件攻击,并对邮件服务器的特定端口的流量进行限制。采用这种检测邮件攻击的方式时,由于邮件服务器的特定端口除了接收邮件以夕卜,还会接收其他的数据,因此针对邮件服务器的特定端口进行流量统计时,所统计的流量中可能包含除邮件流量的其它数据流量,例如,命令数据等,因此对邮件攻击的检测结果是不准确的,不能正确地对邮件攻击进行限制和处理。
技术实现思路
本专利技术实施例中提供了一种检测邮件攻击的方法、装置及设备,用以解决现有技术中存在的邮件攻击的检测结果不准确的问题。为解决上述问题,本专利技术实施例提供的技术方案如下:第一方面,提供一种检测邮件攻击的方法,包括:接收数据流;获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。结合第一方面,在第一方面的第一种可能的实现方式中,所述根据接收到的数据流的协议类型确定所述每个统计周期内的邮件流量参数,包括:分析所述每个统计周期内接收到的数据流的协议类型;当所述协议类型属于邮件协议类型时,确定所述数据流为邮件;根据确定的邮件获得所述每个统计周期内的邮件流量参数。结合第一方面,或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述邮件流量参数包括:邮件数量;或新建的用于传输邮件的简单邮件传输协议SMTP连接数;或用于传输邮件的SMTP并发连接增加数。结合第一方面,或第一方面的第一种可能的实现方式,或第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,在所述确定检测到邮件攻击之后,还包括:获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址;统计获得的每个收件人邮箱地址在所述每个检测周期的出现次数;将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址。结合第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,还包括:在所述获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人网络协议IP地址;建立所述每个检测周期中收件人邮箱地址和发件人IP地址的对应关系;在所述将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址之后,还包括:根据所述对应关系统计所述目标地址对应的每个发件人IP地址的出现次数;将出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。第二方面,提供一种检测邮件攻击的装置,包括:接收单元,用于接收数据流;第一获得单元,用于获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述接收单元接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;确定单元,用于当所述第一获得单元获得的预定数目个统计周期内每个统计周期内的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。结合第二方面,在第二方面的第一种可能的实现方式中,所述第一获得单元包括:协议类型分析子单元,用于在每个统计周期内,分析所述每个统计周期内接收到的数据流的协议类型;邮件确定子单元,用于当所述协议类型分析子单元分析出的数据流的协议类型属于邮件协议类型时,确定所述数据流为邮件;参数获得子单元,用于根据所述邮件确定子单元所确定的邮件获得所述每个统计周期内的邮件流量参数。结合第二方面,或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,还包括:第二获得单元,用于在所述确定单元确定检测到邮件攻击之后,获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址;第一统计单元,用于统计所述第二获得单元获得的每个收件人邮箱地址在所述每个检测周期的出现次数;目标地址确定单元,用于将所述第一统计单元统计的在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为邮件攻击的目标地址。结合第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,还包括:第三获得单元,用于在所述第二获得单元获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人网络协议IP地址;对应关系建立单元,用于建立所述每个检测周期中所述第二获得单元获得的收件人邮箱地址和所述第三获得单元获得的发件人IP地址的对应关系;第二统计单元,用于在所述目标地址确定单元确定目标地址之后,根据所述对应关系建立单元建立的对应关系统计所述目标地址对应的每个发件人IP地址的出现次数;攻击方地址确定单元,用于将所述第二统计单元统计的出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。第三方面,提供一种检测邮件攻击的设备,包括:网络接口,用于接收数据流;处理器,用于获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述网络接口接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数,当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。结合第三方面,在第三方面的第一种可能的实现方式中,所述处理器具体用于:在每个统计周期内,分析所述每个统计周期内所述网络接口接收到的数据流的协议类型,当所述协议类型属于邮件协议类型时,确定所述数据流为邮件,根据确定的邮件获得所述每个统计周期内的邮件流量参数。结合第三方面,或第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,所述处理器还用于:在所述确定检测到邮件攻击之后,获得预定数目个检测周期内每个检测周期所述网络接口所接收到的邮件的收件人邮箱地址,统计获得的每个收件人邮箱地址在所述每个检测周期的出现次数,将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址。结合第三方面的第二种可能的实现方式,在第三方面的第三种可能的实现方式中,所述处理器还用于:在所述获得预定数目个检测周期内每个检测周期所述网络接口所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人网络协议IP地址,建立所述每个检测周期中收件人邮箱地址和发本文档来自技高网...
【技术保护点】
一种检测邮件攻击的方法,其特征在于,包括:接收数据流;获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。
【技术特征摘要】
1.一种检测邮件攻击的方法,其特征在于,包括: 接收数据流; 获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数; 当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。2.如权利要求1所述的方法,其特征在于,所述根据接收到的数据流的协议类型确定所述每个统计周期内的邮件流量参数,包括: 分析所述每个统计周期内接收到的数据流的协议类型; 当所述协议类型属于邮件协议类型时,确定所述数据流为邮件; 根据确定的邮件获得所述每个统计周期内的邮件流量参数。3.如权利要求1或2所述的方法,其特征在于,所述邮件流量参数包括: 邮件数量;或 新建的用于传输邮件的简单邮件传输协议SMTP连接数;或 用于传输邮件的SMTP并发连接增加数。4.如权利要求1至3中任一权利要求所述的方法,其特征在于,在所述确定检测到邮件攻击之后,还包括: 获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址; 统计获得的每个收件人邮箱地址在所述每个检测周期的出现次数; 将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址。5.如权利要求4所述的方法,其特征在于,还包括: 在所述获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人网络协议IP地址; 建立所述每个检测周期中收件人邮箱地址和发件人IP地址的对应关系; 在所述将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址之后,还包括: 根据所述对应关系统计所述目标地址对应的每个发件人IP地址的出现次数; 将出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。6.一种检测邮件攻击的装置,其特征在于,包括: 接收单元,用于接收数据流; 第一获得单元,用于获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述接收单元接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数; 确定单元,用于当所述第一获得单元获得的预定数目个统计周期内每个统计周期内的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。7.如权利要求6所述的装置,其特征在于,所述第一获得单元包括: 协议类型分析子单元,用于在每个统计周期内,分析所述每个统计周期内接收到的数据流的协议类型;邮件确定子单元,用于当所述协议类型分析子单元分析出的数据流的协议类型属于邮件协议类型时,确定所述数据流为邮件; 参数获得子单元,用于根据所述邮件确定子单元所确定的邮件获得所述每个统计周期内的邮件流量参数。8.如权利要求6或7所述的装置,其特征在于,还包括: 第...
【专利技术属性】
技术研发人员:蒋武,董兴水,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。