[发明专利]钓鱼邮件检测方法、装置和电子装置

说明书

本申请涉及一种钓鱼邮件检测方法、装置和电子装置，通过获取目标邮件的待检测信息，其中，目标邮件为邮件安全网关提供的预确定钓鱼邮件，将待检测信息发送至威胁情报系统，得到目标邮件的检测结果，在检测结果确定目标邮件为钓鱼邮件时，根据目标邮件向邮件安全网关下发处置策略。其能够利用威胁情报系统对目标邮件进行检测，减少人工检测的工作量，从而提高对邮件检测的效率。

技术领域

本申请涉及信息安全技术领域，特别是涉及一种钓鱼邮件检测方法、装置和电子装置。

背景技术

在电子邮件通信中，钓鱼邮件往往利用其伪装的诱导信息，盗取收件人的隐私信息，危害收件人的财产安全，因此需要对邮件内容以及邮件附件进行安全检测，并对检测到的钓鱼邮件进行相应处置，以提高电子邮件的安全性。在目前的邮件安全防护领域，主要依靠邮件安全网关的内置规则对邮件信息进行检测，并将疑似钓鱼邮件的邮件信息以告警方式通知处理人员进一步处理，而依靠人工进行钓鱼邮件的判定和处理，其检测结果依赖处理人员的经验和主观判断，因此目前钓鱼邮件检测的处理效率和准确度较低。

针对相关技术中存在的邮件安全网关对于钓鱼邮件的检测处理效率和准确度较低的问题，尚未提出解决方案。

发明内容

基于此，有必要针对上述技术问题，提供一种钓鱼邮件检测方法、装置和电子装置。

第一方面，本申请实施例提供了一种钓鱼邮件检测方法，用于SOAR平台，所述方法包括：

获取目标邮件的待检测信息，其中，所述目标邮件为邮件安全网关提供的预确定钓鱼邮件；

将所述待检测信息发送至威胁情报系统，得到所述目标邮件的检测结果；

在所述检测结果确定所述目标邮件为钓鱼邮件时，根据所述目标邮件向邮件安全网关下发处置策略。

在其中一个实施例中，在所述目标邮件中包含邮件附件时，所述检测结果包含第一检测结果和第二检测结果，所述将所述待检测信息发送至威胁情报系统，得到所述目标邮件的检测结果，包括：

将所述邮件附件发送至沙箱，以得到所述邮件附件的行为信息的分析结果，并将所述分析结果作为所述第一检测结果，将所述待检测信息发送至威胁情报系统，得到第二检测结果。

在其中一个实施例中，所述在所述检测结果确定所述目标邮件为钓鱼邮件时，根据所述目标邮件向邮件安全网关下发处置策略，包括：

在所述第一检测结果和所述第二检测结果均确定所述目标邮件为钓鱼邮件时，根据所述目标邮件向邮件安全网关下发处置策略。

在其中一个实施例中，所述待检测信息包括发件人、动静态链接、IP信息以及域名信息。

在其中一个实施例中，若所述目标邮件包含所述邮件附件，所述待检测信息还包括所述邮件附件的MD5摘要信息。

在其中一个实施例中，所述方法还包括：

在所述检测结果无法确定所述目标邮件是否为钓鱼邮件时，对所述待检测信息进行解析，得到所述目标邮件的补充信息；

将所述补充信息与所述待检测信息一并发送至人工判定平台，以判定所述目标邮件是否为钓鱼邮件，并获取人工判定结果。

在其中一个实施例中，所述在所述检测结果无法确定所述目标邮件是否为钓鱼邮件时，对所述待检测信息进行解析，得到所述目标邮件的补充信息，包括：

对所述待检测信息进行解析，得到所述目标邮件的网页快照信息、DNS解析信息以及whois信息，并根据所述DNS解析信息中的IP地址获取IP定位信息；

将所述网页快照信息、所述DNS解析信息、所述whois信息以及所述IP定位信息作为所述目标邮件的补充信息。