[发明专利]一种面向链接伪装的鱼叉攻击邮件发现方法及装置

权利要求书

1.一种面向链接伪装的鱼叉攻击邮件发现方法，其步骤包括：

1)从待处理的邮件协议数据中获取待检测邮件的邮件元数据和附件信息；

2)从所述待检测邮件的正文中提取所有的链接地址和链接内容；

3)根据预设的检测规则以及所配置的云附件特征库对提取信息进行检测，判定对应邮件是否为可疑恶意邮件；

4)对判定为可疑恶意邮件的附件名称、邮件主题进行语言识别和主题识别，判断所述可疑恶意邮件是否具有定向性；若具有定向性，则判定对应邮件为鱼叉攻击邮件；

其中判定邮件是否为可疑恶意邮件的方法为：

11)判断待检测的链接内容是否为URL，若为URL，则截取URL中的域名；

12)截取待检测的链接地址中的域名；判断链接内容中的域名与链接地址中的域名是否匹配，如果不匹配则认为该链接为仿冒链接，对应邮件为可疑恶意邮件；如果匹配则进行步骤13)；

13)统计待检测的链接中“/”的个数以及链接域名的长度；若链接中“/”的个数为1，且链接域名的长度小于指定阈值，则判断该链接为短链接，对应邮件为可疑恶意邮件；否则，执行步骤14)；

14)计算该链接的短码中数字出现的概率，若概率超过设定阈值H1，则判断该链接为短链接，对应邮件为可疑恶意邮件；否则，执行步骤15)；

15)统计该短码中元音字母出现的概率，若概率低于阈值H2，则判断该链接为短链接，对应邮件为可疑恶意邮件；否则，执行步骤16)；

16)计算该短码的熵值，若熵值超过设定阈值H3，则判断该链接为短链接，对应邮件为可疑恶意邮件；否则为正常链接，执行步骤17)；

17)判断待检测邮件是否有附件，若有附件，则根据云附件特征库与邮件正文内容进行匹配，若匹配成功，则判断该附件为云附件，执行步骤18)；

18)根据设定的主流邮件系统名称列表，与邮件正文中云附件下载链接前后N个字符进行匹配，得到该云附件服务名称，并根据云附件服务名称得到对应的云附件服务下载链接域名；

19)截取待检测的云附件实际下载链接中的域名；判断云附件服务下载链接域名与云附件实际下载链接中的域名是否匹配；若不匹配，则判断该云附件实际下载下载链接为仿冒，对应邮件为可疑恶意邮件；否则为正常邮件。

2.如权利要求1所述的方法，其特征在于，采用公式计算短码的熵值H(x)；其中，p(x_i)表示短码x中第i个字符x_i在短码x中出现的概率，n为短码x的字符总数。

3.如权利要求1所述的方法，其特征在于，所述链接内容为邮件正文中显式的链接对象，包括文本图片或URL；所述链接地址为链接内容所指向的真实的链接地址。

4.如权利要求1所述的方法，其特征在于，所述云附件特征库中的云附件特征包括：云附件、到期、已过期。

5.如权利要求1所述的方法，其特征在于，所述邮件元数据包括：发件服务器IP、收件服务器IP、发件时间、收件时间、发件人、收件人、邮件主题和正文内容；所述附件信息包括附件名称和附件文件。