[发明专利]钓鱼邮件检测方法、装置、电子设备及存储介质

说明书

本发明的实施例公开一种钓鱼邮件检测方法、装置、电子设备及存储介质，涉及网络安全技术领域，为提高钓鱼邮件的识别率而发明。所述钓鱼邮件检测方法，包括：从邮件流量中获取待检测邮件；检测所述待检测邮件是否包含预定的行为特征；若所述待检测邮件包含预定的行为特征，则确定所述待检测邮件为钓鱼邮件。所述钓鱼邮件检测装置，包括：获取模块，用于从邮件流量中获取待检测邮件；检测模块，用于检测所述待检测邮件是否包含预定的行为特征；判断模块，用于若所述待检测邮件包含预定的行为特征，则确定所述待检测邮件为钓鱼邮件。本发明适用于邮件流量中钓鱼邮件的检测识别。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种钓鱼邮件检测方法、装置、电子设备及存储介质。

背景技术

钓鱼邮件是指利用伪装的电子邮箱，欺骗收件人将账号、口令等信息回复给指定的接收者；或诱使邮件接收者点击包含恶意程序的附件或者指向包含恶意程序的恶意链接，进而控制目标主机窃取敏感信息。近年来，钓鱼邮件的数量呈现持续上升趋势，给网络安全带来了严峻挑战。

对于钓鱼邮件的检测现有技术大多数都是基于钓鱼邮件的内容特征进行检测，如：匹配黑链接、黑地址、URL(Uniform Resource Locator，统一资源定位符)校验等方式进行检测。这种检测方式大都依赖于内容特征库的更新，内容稍加变化之后就很难识别到，由此使得基于内容检测的钓鱼邮件检测的识别率不高。

发明内容

有鉴于此，本发明实施例提供一种钓鱼邮件检测方法、装置、电子设备及存储介质，能够提高钓鱼邮件的识别率。

第一方面，本发明实施例提供一种钓鱼邮件检测方法，包括：从邮件流量中获取待检测邮件；检测所述待检测邮件是否包含预定的行为特征；若所述待检测邮件包含预定的行为特征，则确定所述待检测邮件为钓鱼邮件。

根据本发明实施例的一种具体实现方式，所述检测所述待检测邮件是否包含预定的行为特征，包括：

检测所述待检测邮件是否包含第一类行为特征；所述第一类行为特征包括：所述待检测邮件中，所使用的发件人信箱或收件人信箱，为免费邮箱，或者为已发生过钓鱼事件的邮箱；和/或，

检测所述待检测邮件是否包含第二类行为特征；所述第二类行为特征包括：所述待检测邮件中，邮件的主题、正文或附件中，含有诱导性关键词，或邮件的正文中的询盘内容缺少关键性描述信息；和/或，

检测所述待检测邮件是否包含第三类行为特征；所述第三类行为特征包括：所述待检测邮件中，附件的表面特征与实际特征不一致；和/或，

检测所述待检测邮件是否包含第四类行为特征；所述第四类行为特征包括：将所述待检测邮件的附件在虚拟环境中运行时，所述附件中含有恶意行为。

根据本发明实施例的一种具体实现方式，所述附件的表面特征包括附件的文件后缀名和/或附件的图标；所述的附件的实际特征包括附件打开后或执行后所具有的行为特征。

根据本发明实施例的一种具体实现方式，所述附件的表面特征与实际特征不一致，包括：

附件表面显示为压缩格式或文本格式，但该附件实际为可执行的文件；

附件表面显示为图片格式，但该附件实际执行后具有链接导向行为；

附件表面显示为文档格式，但该附件打开后在文档中包含有链接导向地址；

附件表面显示为可执行文件，但实际却是带有宏病毒的office文档；

附件表面显示为可执行文件，但实际执行后具有远程连接、远程下载、或安装的行为；

附件表面显示为可执行文件，但实际执行后，只在后台运行、或具有执行其他程序的行为。