[发明专利]恶意邮件的识别方法、系统、电子设备和存储介质

说明书

本发明的实施例提供了一种恶意邮件的识别方法、系统、电子设备和存储介质，涉及网络安全领域。其中，恶意邮件的识别方法，包括：获取网络流量数据，从所述网络流量数据中提取若干邮件内容文本；使用文本恶意识别模型对所述邮件内容文本进行恶意检测，根据恶意检测结果获取恶意文本；其中，所述文本恶意识别模型根据恶意邮件文本和正常邮件文本训练得到；获取所述恶意文本所对应的邮件，将所述邮件作为恶意邮件。与现有技术相比，本发明实施例所提供的恶意邮件的识别方法、系统、电子设备和存储介质能够有效的对恶意邮件进行识别。

技术领域

本发明涉及网络安全领域，具体而言，涉及一种恶意邮件的识别方法、系统、电子设备和存储介质。

背景技术

由于电子邮件目标较明显，并且攻击成本低，回报高，所以一直深受黑客们的青睐。相关研究表明79.2％的网络攻击始于钓鱼邮件，邮件已成为安全威胁的载体和黑客发起渗透攻击的跳板。而不管是个人还是团体内部若遭受垃圾邮件侵害，极大可能会对安全问题造成巨大的威胁。会造成邮件服务阻塞、不稳定、甚至宕机，也有可能传播病毒，进行网络诈骗，散布非法信息等，影响个人或企业的正常工作。因此，如何对恶意邮件进行有效的识别成为一个亟待解决的问题。

发明内容

本发明的目的包括，例如，提供了一种恶意邮件的识别方法、系统、电子设备和存储介质，其能够有效的对恶意邮件进行识别。

本发明的实施例可以这样实现：

第一方面，本发明提供一种恶意邮件的识别方法，包括：获取网络流量数据，从所述网络流量数据中提取若干邮件内容文本；使用文本恶意识别模型对所述邮件内容文本进行恶意检测，根据恶意检测结果获取恶意文本；其中，所述文本恶意识别模型根据恶意邮件文本和正常邮件文本训练得到；获取所述恶意文本所对应的邮件，将所述邮件作为恶意邮件。

在可选的实施方式中，所述方法还包括：从所述网络流量数据中提取邮件附件，获取所述邮件附件的附件格式；若所述附件格式为图片格式，判断所述邮件附件是否为二维码图片；若所述邮件附件为二维码图片，提取所述二维码图片所对应的网络链接，判断所述网络链接是否为恶意链接；若所述网络链接为恶意链接，获取所述邮件附件对应的邮件，将所述邮件作为恶意邮件。

在可选的实施方式中，所述从所述网络流量数据中提取邮件附件后，所述方法还包括：将所述邮件附件存入磁盘的数据块中，记录各个所述邮件附件的文件大小和各个所述邮件附件所存入的数据块的起始位置。由于邮件附件的文件大小通常较大，在本步骤中提取到邮件附件后，将邮件附件存入磁盘的数据块中，并记录各个邮件附件的文件大小和各个邮件附件所存入的数据块的起始位置。后续需要对邮件附件进行处理时，可以直接根据各个邮件附件的文件大小和各个邮件附件所存入的数据块的起始位置从磁盘的数据块中获取得到各个邮件附件。

在可选的实施方式中，所述方法还包括：若所述附件格式为可执行文件，经由预设文件检测步骤对所述邮件附件进行文件恶意检测，若所述邮件附件为恶意文件，获取所述邮件附件对应的邮件，将所述邮件作为恶意邮件；所述预设文件检测步骤包括：获取所述邮件附件的目标模糊哈希；判断所述目标模糊哈希是否属于预设模糊哈希库，所述预设模糊哈希库包括恶意文件的模糊哈希；若所述目标模糊哈希属于所述预设模糊哈希库，判定所述邮件附件为恶意文件。

在可选的实施方式中，所述判断所述网络链接是否为恶意链接，包括：判断所述网络链接的链接类型，所述链接类型包括文件链接和网站链接；若所述链接类型为文件链接，下载所述文件链接所指向的链接文件，对所述链接文件进行文件恶意检测；若所述链接类型为网站链接，获取所述网站链接所指向的链接网站，对所述链接网站进行网站恶意检测。

在可选的实施方式中，所述方法还包括：从所述网络流量数据中提取邮件链接数据，根据所述邮件链接数据提取得到若干网络链接；分别判断所述网络链接是否为恶意链接，若所述网络链接为恶意链接，获取所述恶意链接对应的邮件，将所述邮件作为恶意邮件。