[发明专利]钓鱼邮件检测方法、装置和电子装置在审
| 申请号: | 202110791003.1 | 申请日: | 2021-07-13 |
| 公开(公告)号: | CN113489734A | 公开(公告)日: | 2021-10-08 |
| 发明(设计)人: | 朱鑫锋;范渊;刘博 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/58 |
| 代理公司: | 杭州华进联浙知识产权代理有限公司 33250 | 代理人: | 李洋 |
| 地址: | 310051 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 钓鱼 邮件 检测 方法 装置 电子 | ||
1.一种钓鱼邮件检测方法,用于SOAR平台,其特征在于,所述方法包括:
获取目标邮件的待检测信息,其中,所述目标邮件为邮件安全网关提供的预确定钓鱼邮件;
将所述待检测信息发送至威胁情报系统,得到所述目标邮件的检测结果;
在所述检测结果确定所述目标邮件为钓鱼邮件时,根据所述目标邮件向所述邮件安全网关下发处置策略。
2.根据权利要求1所述的钓鱼邮件检测方法,其特征在于,在所述目标邮件中包含邮件附件时,所述检测结果包含第一检测结果和第二检测结果,所述将所述待检测信息发送至威胁情报系统,得到所述目标邮件的检测结果,包括:
将所述邮件附件发送至沙箱,以得到所述邮件附件的行为信息的分析结果,并将所述分析结果作为所述第一检测结果,将所述待检测信息发送至威胁情报系统,得到第二检测结果。
3.根据权利要求2所述的钓鱼邮件检测方法,其特征在于,所述在所述检测结果确定所述目标邮件为钓鱼邮件时,根据所述目标邮件向所述邮件安全网关下发处置策略,包括:
在所述第一检测结果和所述第二检测结果均确定所述目标邮件为钓鱼邮件时,根据所述目标邮件向所述邮件安全网关下发处置策略。
4.根据权利要求1所述的方法,其特征在于,所述待检测信息包括发件人、动静态链接、IP信息以及域名信息。
5.根据权利要求4所述的方法,其特征在于,若所述目标邮件包含所述邮件附件,所述待检测信息还包括所述邮件附件的MD5摘要信息。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述方法还包括:
在所述检测结果无法确定所述目标邮件是否为钓鱼邮件时,对所述待检测信息进行解析,得到所述目标邮件的补充信息;
将所述补充信息与所述待检测信息一并发送至人工判定平台,以判定所述目标邮件是否为钓鱼邮件,并获取人工判定结果。
7.根据权利要求6所述的方法,其特征在于,所述在所述检测结果无法确定所述目标邮件是否为钓鱼邮件时,对所述待检测信息进行解析,得到所述目标邮件的补充信息,包括:
对所述待检测信息进行解析,得到所述目标邮件的网页快照信息、DNS解析信息以及whois信息,并根据所述DNS解析信息中的IP地址获取IP定位信息;
将所述网页快照信息、所述DNS解析信息、所述whois信息以及所述IP定位信息作为所述目标邮件的补充信息。
8.根据权利要求7所述的方法,其特征在于,在所述人工判定结果指示所述目标邮件为钓鱼邮件时,所述方法还包括:
根据所述目标邮件向所述邮件安全网关下发处置策略,并基于所述目标邮件在威胁情报系统中增加钓鱼邮件判定依据。
9.根据权利要求7所述的方法,其特征在于,在所述人工判定结果指示所述目标邮件不为钓鱼邮件时,所述方法还包括:
根据所述目标邮件更新所述邮件安全网关的检测策略。
10.一种钓鱼邮件检测装置,用于SOAR平台,其特征在于,所述装置包括获取模块、检测模块以及处置模块:
所述获取模块,用于获取目标邮件的待检测信息,其中,所述目标邮件为邮件安全网关提供的预确定钓鱼邮件;
所述检测模块,用于将所述待检测信息发送至威胁情报系统,得到所述目标邮件的检测结果;
所述处置模块,用于在所述检测结果确定所述目标邮件为钓鱼邮件时,根据所述目标邮件向所述邮件安全网关下发处置策略,并基于所述目标邮件在威胁情报系统中增加钓鱼邮件判定依据。
11.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时实现权利要求1至9中任一项所述方法的步骤。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110791003.1/1.html,转载请声明来源钻瓜专利网。
