[发明专利]一种恶意电子邮件检测方法及其系统在审
| 申请号: | 202111583901.4 | 申请日: | 2021-12-22 |
| 公开(公告)号: | CN114389854A | 公开(公告)日: | 2022-04-22 |
| 发明(设计)人: | 覃锦端;刘隽良;柳遵梁;王月兵 | 申请(专利权)人: | 杭州美创科技有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L51/42 |
| 代理公司: | 杭州知学知识产权代理事务所(普通合伙) 33356 | 代理人: | 张雯 |
| 地址: | 310011 浙江省杭州市拱墅*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 恶意 电子邮件 检测 方法 及其 系统 | ||
本发明实施例公开了一种恶意电子邮件检测方法及其系统。方法包括:获取邮箱客户端信息;根据邮箱客户端信息生成邮箱域名公共黑名单库;根据邮箱客户端信息生成邮箱域名私有白名单库;监控发送至各个电子邮箱账户的电子邮件信息,以得到各个电子邮箱接收到的电子邮件联系人邮箱域名;匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及邮箱域名公共黑名单库;匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及邮箱域名私有白名单库;判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件;若存在,则对异常电子邮件进行隔离;生成异常电子邮件告警信息。通过实施本发明实施例的方法可实现可有效识别多变的恶意电子邮件。
技术领域
本发明涉及电子邮件安全分析方法,更具体地说是指一种恶意电子邮件检测方法及其系统。
背景技术
传统的恶意电子邮件检测识别是基于已知电子邮箱域名黑名单和邮件内容特征,具体地,通过对电子邮件来源联系人邮箱域名进行检测,检测是否匹配已有电子邮箱域名黑名单;同时对电子邮件内容检测,检测是否匹配已有恶意代码特征库。但是,这种方式由于其依赖于自有的相关匹配规则或策略,导致在安全问题上往往出现大量误报、漏报,并在情报更新和威胁嗅探上往往囿于劣势;同时,由于其安全判定基于规则,而规则往往又是已知威胁的整理集合,导致恶意电子邮件可以绕过检测进行攻击。因此,当前的恶意电子邮件检测识别方法无法有效识别多变的恶意电子邮件。
因此,有必要设计一种新的方法,实现可有效识别多变的恶意电子邮件。
发明内容
本发明的目的在于克服现有技术的缺陷,提供一种恶意电子邮件检测方法及其系统。
为实现上述目的,本发明采用以下技术方案:一种恶意电子邮件检测方法,其特征在于,包括:
获取邮箱客户端信息;
根据所述邮箱客户端信息生成邮箱域名公共黑名单库;
根据所述邮箱客户端信息生成邮箱域名私有白名单库;
监控发送至各个电子邮箱账户的电子邮件信息,以得到各个电子邮箱接收到的电子邮件联系人邮箱域名;
匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名公共黑名单库,以得到第一匹配结果;
匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单库,以得到第二匹配结果;
根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件;
若发送至电子邮箱账户的电子邮件信息中存在异常电子邮件,则对异常电子邮件进行隔离;
生成异常电子邮件告警信息。
作为优选,所述邮箱客户端信息包括电子邮箱账户信息、电子邮箱已发送邮件联系人信息、电子邮箱已接收邮件联系人信息以及电子邮箱黑名单联系人信息。
作为优选,所述根据所述邮箱客户端信息生成邮箱域名公共黑名单库,包括:
计算所有电子邮箱的电子邮箱黑名单联系人信息的集合,以得到原始公共黑名单库;
定时爬取和收集公开的恶意域名情报库内的恶意域名列表,以得到补充公共黑名单库;
对所述原始公共黑名单库以及补充公共黑名单库进行去重、排列以及整合,以得到邮箱域名公共黑名单库。
作为优选,所述根据所述邮箱客户端信息生成邮箱域名私有白名单库,包括:
计算每个电子邮箱对应的电子邮箱已发送邮件联系人信息以及电子邮箱已接收邮件联系人信息的交集,以得到每个电子邮箱的邮箱域名私有白名单库。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州美创科技有限公司,未经杭州美创科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111583901.4/2.html,转载请声明来源钻瓜专利网。
