[发明专利]恶意邮件的识别方法、系统、电子设备和存储介质

权利要求书

1.一种恶意邮件的识别方法，其特征在于，包括：

获取网络流量数据，从所述网络流量数据中提取若干邮件内容文本；

使用文本恶意识别模型对所述邮件内容文本进行恶意检测，根据恶意检测结果获取恶意文本，所述文本恶意识别模型根据恶意邮件文本和正常邮件文本训练得到；

获取所述恶意文本所对应的邮件，将所述邮件作为恶意邮件。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

从所述网络流量数据中提取邮件附件，获取所述邮件附件的附件格式；

若所述附件格式为图片格式，判断所述邮件附件是否为二维码图片；

若所述邮件附件为二维码图片，提取所述二维码图片所对应的网络链接，判断所述网络链接是否为恶意链接；

若所述网络链接为恶意链接，获取所述邮件附件对应的邮件，将所述邮件作为恶意邮件。

3.根据权利要求2所述的方法，其特征在于，所述从所述网络流量数据中提取邮件附件后，所述方法还包括：

将所述邮件附件存入磁盘的数据块中，记录各个所述邮件附件的文件大小和各个所述邮件附件所存入的数据块的起始位置。

4.根据权利要求2所述的方法，其特征在于，所述方法还包括：

若所述附件格式为可执行文件，经由预设文件检测步骤对所述邮件附件进行文件恶意检测，若所述邮件附件为恶意文件，获取所述邮件附件对应的邮件，将所述邮件作为恶意邮件；

所述预设文件检测步骤包括：

获取所述邮件附件的目标模糊哈希；

判断所述目标模糊哈希是否属于预设模糊哈希库，所述预设模糊哈希库包括恶意文件的模糊哈希；

若所述目标模糊哈希属于所述预设模糊哈希库，判定所述邮件附件为恶意文件。

5.根据权利要求2所述的方法，其特征在于，所述判断所述网络链接是否为恶意链接，包括：

判断所述网络链接的链接类型，所述链接类型包括文件链接和网站链接；

若所述链接类型为文件链接，下载所述文件链接所指向的链接文件，对所述链接文件进行文件恶意检测；

若所述链接类型为网站链接，获取所述网站链接所指向的链接网站，对所述链接网站进行网站恶意检测。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

从所述网络流量数据中提取邮件链接数据，根据所述邮件链接数据提取得到若干网络链接；

分别判断所述网络链接是否为恶意链接，若所述网络链接为恶意链接，获取所述恶意链接对应的邮件，将所述邮件作为恶意邮件。

7.根据权利要求6所述的方法，其特征在于，所述判断所述网络链接是否为恶意链接前，所述方法还包括：

判断所述网络链接是否为外部网络；

若所述网络连接为外部网络，经由虚拟专用网络接口与所述外部网络进行连接。

8.根据权利要求1所述的方法，其特征在于，所述方法还包括：

从所述网络流量数据中提取得到若干邮件域名；

根据注册时长、网站状态、备案信息、网页状态中的一种或多种、判断各个所述邮件域名的恶意程度数据；

将恶意程度数据大于预设阈值的邮件域名作为恶意域名；

获取所述恶意域名对应的邮件，将所述邮件作为恶意邮件。

9.根据权利要求1至8中任一项所述的方法，其特征在于，所述方法还包括：

从所述网络流量数据中获取若干邮件，并设置与各个所述邮件一一对应的标识数据；

所述将所述邮件作为恶意邮件前，所述方法还包括：

根据所述标识数据判断所述邮件是否已经被作为恶意邮件，若所述邮件未被作为恶意邮件，执行步骤：将所述邮件作为恶意邮件。