[发明专利]基于行为的恶意邮件发送节点检测方法无效
| 申请号: | 201110146355.8 | 申请日: | 2011-06-02 |
| 公开(公告)号: | CN102209075A | 公开(公告)日: | 2011-10-05 |
| 发明(设计)人: | 张健;杜振华;张津弟;刘威;陈建民;张鑫 | 申请(专利权)人: | 国家计算机病毒应急处理中心 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/58 |
| 代理公司: | 天津才智专利商标代理有限公司 12108 | 代理人: | 庞学欣 |
| 地址: | 300457 天津市塘沽*** | 国省代码: | 天津;12 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于行为的恶意邮件发送节点检测方法。该检测方法是利用决策树理论对蠕虫邮件和一般垃圾邮件进行分类判断,由此确定出恶意邮件的发送源头。本方法不仅可以应用于局域网接入点,也可应用于广域网,因此能够在大规模的网络条件下以较小的资源消耗来检测、发现恶意垃圾邮件的发送源头,所以检测率和召回率好。另外,与传统的垃圾邮件蠕虫检测方法相比,本方法的检测效率高。而与传统的基于特征串匹配的检测方法相比,本方法的系统维护量小。 | ||
| 搜索关键词: | 基于 行为 恶意 邮件 发送 节点 检测 方法 | ||
【主权项】:
一种基于行为的恶意邮件发送节点检测方法,其特征在于:所述的检测方法包括按顺序进行的下列步骤:(1)判断邮件地址所包含的域名是否真实的S1阶段:如域名存在,则判定为正常邮件,设定SDomain_Exist=1,然后进入S2阶段;反之,设定SDomain_Exist=0,然后跳转至S6阶段;(2)判断邮件源IP与源域是否相匹配的S2阶段:如果匹配,设定SIP_Domain=1,然后跳转至S7阶段,即判定为正常邮件;反之,设定SIP_Domain=0,然后进入S3阶段;(3)判断邮件发送/接收者是否使用代称的S3阶段:当邮件使用代称时,设定Named=1,然后进入S4阶段;否则设定Named=0,然后跳转至S11阶段,即判定为蠕虫感染;(4)判断邮件目的IP与源域是否相匹配的S4阶段:如果得到匹配的结果,则设定DIP_FromDomain=1;反之,设定DIP_FromDomain=0,然后跳转至S10阶段,即判定为垃圾邮件;(5)判断邮件源域与目的IP地址数量是否相符的S5阶段:如果单位时间内源域的数量×5‑IP地址数量≥0,则设定Equal_DIP_FromDomain=1,然后进入S8阶段,即判定为正常节点;反之,如果单位时间内源域的数量×5‑IP地址数量<0,则设定Equal_DIP_FromDomain=0,然后跳转至S9阶段,即判定为异常节点;(6)判断邮件发送/接收者是否使用代称的S6阶段:当邮件使用代称时,设定Named=1,然后进入S12阶段,即判定为垃圾邮件;否则设定Named=0,然后跳转至S13阶段,即判定为恶意邮件蠕虫。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国家计算机病毒应急处理中心,未经国家计算机病毒应急处理中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201110146355.8/,转载请声明来源钻瓜专利网。
- 上一篇:一种切粒机防噪音器
- 下一篇:作为β-分泌酶调节剂的螺四环化合物及其使用方法
