一种检测邮件攻击的方法、装置及设备的制作方法

文档序号:7870529阅读:169来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种检测邮件攻击的方法、装置及设备的制作方法
技术领域
本发明涉及通信技术领域,尤其涉及一种检测邮件攻击的方法、装置及设备。
背景技术
邮件攻击,也称为“邮件炸弹攻击”,英文是E-Mail Bomb,是一种攻击电子邮件(E-mail)邮箱(下文简称电子邮箱)的手段,通过短时间内向目标电子邮箱连续发送垃圾邮件的方式,使该目标电子邮箱容量达到上限而没有多余的空间来容纳新的电子邮件(下文简称为邮件)。并且,发生邮件攻击时,垃圾邮件在网络中传输会消耗大量的网络资源,从而可能引起网络堵塞,导致其他大量的电子邮箱无法正常接收和发送邮件,同时也会给邮件服务器造成负担。发生邮件攻击时,邮件服务器所接收的邮件流量往往会出现异常,而一般邮件服务器是通过特定端口(例如,端口 25)接收邮件的,因此,在检测是否发生邮件攻击时,通常先针对邮件服务器的特定端口进行流量统计,当一定时间内邮件流量超过预设的流量阈值时,就认为发生了邮件攻击,并对邮件服务器的特定端口的流量进行限制。采用这种检测邮件攻击的方式时,由于邮件服务器的特定端口除了接收邮件以夕卜,还会接收其他的数据,因此针对邮件服务器的特定端口进行流量统计时,所统计的流量中可能包含除邮件流量的其它数据流量,例如,命令数据等,因此对邮件攻击的检测结果是不准确的,不能正确地对邮件攻击进行限制和处理。

发明内容
本发明实施例中提供了一种检测邮件攻击的方法、装置及设备,用以解决现有技术中存在的邮件攻击的检测结果不准确的问题。为解决上述问题,本发明实施例提供的技术方案如下:第一方面,提供一种检测邮件攻击的方法,包括:接收数据流;获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。结合第一方面,在第一方面的第一种可能的实现方式中,所述根据接收到的数据流的协议类型确定所述每个统计周期内的邮件流量参数,包括:分析所述每个统计周期内接收到的数据流的协议类型;当所述协议类型属于邮件协议类型时,确定所述数据流为邮件;根据确定的邮件获得所述每个统计周期内的邮件流量参数。结合第一方面,或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述邮件流量参数包括:
邮件数量;或新建的用于传输邮件的简单邮件传输协议SMTP连接数;或用于传输邮件的SMTP并发连接增加数。结合第一方面,或第一方面的第一种可能的实现方式,或第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,在所述确定检测到邮件攻击之后,还包括:获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址;统计获得的每个收件人邮箱地址在所述每个检测周期的出现次数;将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址。结合第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,还包括:在所述获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人网络协议IP地址;建立所述每个检测周期中收件人邮箱地址和发件人IP地址的对应关系;在所述将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址之后,还包括:根据所述对应关系统计所述目标地址对应的每个发件人IP地址的出现次数;将出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。第二方面,提供一种检测邮件攻击的装置,包括:接收单元,用于接收数据流;第一获得单元,用于获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述接收单元接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;确定单元,用于当所述第一获得单元获得的预定数目个统计周期内每个统计周期内的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。结合第二方面,在第二方面的第一种可能的实现方式中,所述第一获得单元包括:协议类型分析子单元,用于在每个统计周期内,分析所述每个统计周期内接收到的数据流的协议类型;邮件确定子单元,用于当所述协议类型分析子单元分析出的数据流的协议类型属于邮件协议类型时,确定所述数据流为邮件;参数获得子单元,用于根据所述邮件确定子单元所确定的邮件获得所述每个统计周期内的邮件流量参数。结合第二方面,或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,还包括:第二获得单元,用于在所述确定单元确定检测到邮件攻击之后,获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址;
第一统计单元,用于统计所述第二获得单元获得的每个收件人邮箱地址在所述每个检测周期的出现次数;目标地址确定单元,用于将所述第一统计单元统计的在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为邮件攻击的目标地址。结合第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,还包括:第三获得单元,用于在所述第二获得单元获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人网络协议IP地址;对应关系建立单元,用于建立所述每个检测周期中所述第二获得单元获得的收件人邮箱地址和所述第三获得单元获得的发件人IP地址的对应关系;第二统计单元,用于在所述目标地址确定单元确定目标地址之后,根据所述对应关系建立单元建立的对应关系统计所述目标地址对应的每个发件人IP地址的出现次数;攻击方地址确定单元,用于将所述第二统计单元统计的出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。第三方面,提供一种检测邮件攻击的设备,包括:网络接口,用于接收数据流;处理器,用于获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述网络接口接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数,当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。结合第三方面,在第三方面的第一种可能的实现方式中,所述处理器具体用于:在每个统计周期内,分析所述每个统计周期内所述网络接口接收到的数据流的协议类型,当所述协议类型属于邮件协议类型时,确定所述数据流为邮件,根据确定的邮件获得所述每个统计周期内的邮件流量参数。结合第三方面,或第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,所述处理器还用于:在所述确定检测到邮件攻击之后,获得预定数目个检测周期内每个检测周期所述网络接口所接收到的邮件的收件人邮箱地址,统计获得的每个收件人邮箱地址在所述每个检测周期的出现次数,将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址。结合第三方面的第二种可能的实现方式,在第三方面的第三种可能的实现方式中,所述处理器还用于:在所述获得预定数目个检测周期内每个检测周期所述网络接口所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人网络协议IP地址,建立所述每个检测周期中收件人邮箱地址和发件人IP地址的对应关系,在所述将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址之后,根据所述对应关系统计所述目标地址对应的每个发件人IP地址的出现次数,将出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。本发明实施例的检测邮件攻击的方法中,先要确定邮件流量参数,然后根据确定出的邮件流量参数,确定检测到邮件攻击,其中,根据接收到的数据流的协议类型确定邮件流量参数。由上可见,当接收到的数据流中包含除邮件流量的其他数据流量时,根据数据流的协议类型可以确定出接收到的数据流中包含的邮件流量,从而可以准确地确定邮件流量参数,使邮件攻击的检测结果更为准确。


为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本发明一个实施例中的检测邮件攻击的方法流程示意图;图2是本发明另一个实施例中的检测邮件攻击的方法流程示意图;图3是本发明另一个实施例中的检测邮件攻击的方法流程示意图;图4是本发明一个实施例中的网络架构示意图;图5是本发明一个实施例中的监控表项示意图;图6是本发明一个实施例中的检测邮件攻击的装置结构示意图;图7是本发明一个实施例中的第一获得单元601的结构示意图;图8是本发明另一个实施例中的检测邮件攻击的装置结构示意图;图9是本发明另一个实施例中的检测邮件攻击的装置结构示意图;图10是本发明一个实施例中的检测邮件攻击的设备结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。邮件攻击的攻击方经常采用一些邮件攻击软件来对目标电子邮箱进行邮件攻击。对目标电子邮箱进行邮件攻击时,会向目标电子邮箱发送大量的邮件或是发送容量很大的邮件,使目标电子邮箱的空间被占用完,无法接收新的邮件,无法正常使用。甚至有些邮件攻击会通过控制僵尸网络向目标电子邮箱发送大量的邮件,占用网络资源,影响其他电子邮箱正常的收发邮件。经过对大量的邮件攻击进行分析,本发明的发明人发现,邮件攻击中的邮件大都是随机产生或者是随意编写的,很难从中提炼出特征字段,因此要利用现有的基于特征字段的流量检测来检测邮件攻击并不可行。另外,由于邮件攻击会有基于小流量的洪量攻击(flood攻击),还有一些正常流量数据也可能会在短时间内流量很大,因此通过异常流量检测的方式也不能准确的检测出邮件攻击。经过深入的分析发现,邮件攻击存在一些共同的特征,如目标邮箱确定,即收件人邮箱地址确定;数据流的协议类型属于邮件协议类型,例如,简单邮件传输协议(英文全称为Simple Mail Transfer Protocol,简称SMTP协议)类型,并且是基于传输控制协议(英文全称为Transmission ControlProtocol,简称TCP协议)采用的真实通信连接;发生邮件攻击时,同一个邮件服务器一定时间周期内接收到的邮件数目较多。另外,,发生邮件攻击时发出的垃圾邮件,也有一些共同的特征,如邮件的收件人邮箱地址和发件人邮箱地址相同,或者邮件的文本内容相似等。可以理解的是,本领域的技术人员可以从上述特征中推导出其他更多的特征,在此不一一进行论述。针对这些邮件攻击时的共同特征,本发明提出了能够准确识别邮件攻击的技术方案,能够检测出邮件攻击,这样被攻击的目标电子邮箱就不会受到攻击,可以正常使用,也不会影响网络中其他电子邮箱的正常使用。如图1所示,为本发明检测邮件攻击的方法的一个实施例,其具体处理过程如下:步骤101:接收数据流。步骤102,获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据接收到的数据流的协议类型确定每个统计周期的邮件流量参数。本实施例的执行主体可以是现有网络中的邮件服务器或网关设备。本发明实施例中,根据接收到的数据流的协议类型确定每个统计周期内的邮件流量参数可以采用下述方法:分析每个统计周期内接收到的数据流的协议类型,当协议类型属于邮件协议类型时,确定数据流为邮件,根据确定的邮件获得每个统计周期内的邮件流量参数。上述邮件协议类型可以为SMTP协议,邮局协议(英文全称为Post OfficeProtocol3,简称POP3协议),互联网信息访问协议(英文全称为Internet MessageAccessProtocol,简称IMAP协议),本发明实施例以SMTP协议为例进行说明。上述邮件流量参数可以包括:邮件数量或新建的用于传输邮件的SMTP连接数或用于传输邮件的SMTP并发连接增加数。步骤103,当预定数目个统计周期内每个统计周期内的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。当确定检测到邮件攻击后,可以采取相应的防范措施,具体可以采取下述三种防范措施:当确定检测到邮件攻击后,针对邮件服务器进行限流,从而避免邮件攻击所引起的网络阻塞;或者,当确定检测到邮件攻击后,进一步确定邮件攻击的目标地址,即确定邮件攻击所攻击的邮箱地址,以便针对确定出的目标地址进行限流;或者,当确定检测到邮件攻击后,先进一步确定邮件攻击的目标地址,然后再确定邮件攻击的攻击方IP地址,以便针对确定出的攻击方IP地址进行限流,例如,阻止该攻击方IP地址发送邮件。其中,当采取上述第一种防范措施时,可以在确定检测到邮件攻击后立即进行。当采取上述第二种防范措施时,在确定检测到邮件攻击之后,由于还要确定邮件攻击的目标地址,因此本发明实施例进一步还可以包括确定目标地址的处理流程:先获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址,然后统计获得的每个收件人邮箱地址在每个检测周期的出现次数,再将在预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为邮件攻击的目标地址。当采取上述第三种防范措施时,在确定检测到邮件攻击之后,不仅要确定邮件攻击的目标地址,还要确定邮件攻击的攻击方IP地址,因此本发明实施例除了包括确认目标地址的处理流程(该处理流程与采取第二防范措施中的处理流程类似,在些不再进行描述)夕卜,进一步还可以包括确定攻击方IP地址的处理流程:在获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址的同时,获得邮件的发件人IP地址,并建立每个检测周期中收件人邮箱地址和发件人IP地址的对应关系,然后在确定邮件攻击的目标地址之后,根据对应关系统计目标地址对应的每个发件人IP地址的出现次数,再将出现次数超过第三阈值的发件人IP地址确定为邮件攻击的攻击方IP地址。本发明实施例中,可以在检测邮件攻击前,预先设定上述第一阈值为一固定数值,进一步还可以在检测邮件攻击的过程中,当邮件流量参数与第一阈值不相匹配时,根据邮件流量参数调整第一阈值,以使后续可以根据调整后的第一阈值检测邮件攻击。 由上可见,本发明实施例的检测邮件攻击的方法中,先要确定邮件流量参数,然后根据确定出的邮件流量参数,确定检测到邮件攻击。确定邮件流量参数时需要根据接收到的数据流的协议类型来确定。当接收到的数据流中包含除邮件流量的其他数据流量时,根据数据流的协议类型可以确定出接收到的数据流中包含的邮件流量,从而可以准确地确定邮件流量参数,相应地,邮件攻击的检测结果更为准确。如图2所示,为本发明检测邮件攻击的方法的另一个实施例,该实施例中,在确定检测到邮件攻击之后,还要进一步确定邮件攻击的目标地址,其具体处理过程如下:步骤201,接收数据流。步骤202,获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据接收到的数据流的协议类型确定每个统计周期的邮件流量参数。本实施例的执行主体可以是现有网络中的邮件服务器或网关设备。本发明实施例中,根据接收到的数据流的协议类型确定每个统计周期的邮件流量参数可以采用下述方法:分析每个统计周期内接收到的数据流的协议类型,当协议类型属于邮件协议类型时,确定数据流为邮件,根据确定的邮件获得每个统计周期内的邮件流量参数。上述邮件流量参数可以包括:邮件数量或新建的用于传输邮件的SMTP连接数或用于传输邮件的SMTP并发连接增加数。步骤203,当每个统计周期内的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。由于正常情况下邮件流量参数的数值是平稳变化的,当受到邮件攻击时邮件流量参数的数值会发生明显的突变,因此可以预先设定邮件流量参数的参考值,参考值即上述
第一阈值。本发明实施例中,可以在检测邮件攻击前,预先设定第一阈值为一固定数值,进一步还可以在检测邮件攻击的过程中,当邮件流量参数与第一阈值不相匹配时,根据邮件流量参数调整第一阈值,以使后续可以根据调整后的第一阈值检测邮件攻击。邮件流量参数与第一阈值不相匹配具体可以包括:邮件流量参数不超过第一阈值,例如,当邮件流量参数为邮件数目,第一阈值为100时,若确定出的邮件数量为10,由于邮件数量不超过第一阈值,则表示邮件流量参数与第一阈值不相匹配,若确定出的邮件数量为200,由于邮件数量超过第一阈值,则表示邮件流量参数与第一阈值匹配。第一阈值的确定方法具体可以包括如下处理流程:在检测邮件攻击前,通过流量学习、流量建模和模型输出的过程,确定第一阈值的初始值,其中,上述第一阈值的初始值为一固定数值,通常将这一过程称为检测邮件攻击前的学习阶段,在学习阶段完成后才能检测邮件攻击,即进入工作状态。在检测邮件攻击时,在一个统计周期内,根据接收到的数据流的协议类型确定一个统计周期的邮件流量参数,当确定出的邮件流量参数与第一阈值不相匹配时,根据邮件流量参数调整第一阈值,其中,可以基于上述学习阶段确定出的第一阈值的初始值,根据邮件流量参数调整第一阈值。步骤204,获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址。本发明实施例中,可以在接收到邮件后,对邮件进行内容分析,从而获得邮件的收件人邮箱地址。步骤205,统计获得的每个收件人邮箱地址在每个检测周期的出现次数。本发明实施例中,可以在获得邮件的收件人邮箱地址后,对收件人邮箱地址进行标准化处理,转换成同一种大小写模式,然后在已存储的收件人邮箱地址中进行查找,若未查找到该收件人邮箱地址,则存储该收件人邮箱地址,并将该收件人邮箱地址的出现次数初始化为1,若查找到该收件人邮箱地址,则将该收件人邮箱地址的出现次数加I。步骤206,将在预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为邮件攻击的目标地址。当在预定数目个检测周期内任一检测周期中均未检测出目标地址时,确认未发生邮件攻击。由上可见,本发明实施例的检测邮件攻击的方法中,不仅检测结果更为准确,而且在确定检测到邮件攻击之后,还进一步确定出了邮件攻击的目标地址,从而可以针对确定出的目标地址,采取限流等防范措施。如图3所示,为本发明检测邮件攻击的方法的另一个实施例,该实施例中在确定检测到邮件攻击之后,先进一步确定邮件攻击的目标地址,然后再确定邮件攻击的攻击方IP地址,其具体处理过程如下:步骤301,分析每个统计周期内接收到的数据流的协议类型,当协议类型属于邮件协议类型时,确定数据流为邮件。本实施例的执行主体可以是现有网络中的邮件服务器或网关设备。步骤302,根据确定的邮件获得每个统计周期内的邮件流量参数。步骤303,判断预定数目个统计周期内是否每个统计周期内的邮件流量参数均与第一阈值相匹配,若判断结果为是,则执行步骤304 ;若判断结果为否,则结束当前流程。步骤304,获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址和发件人IP地址,并建立两者的对应关系。上述对应关系为每个检测周期中收件人邮箱地址和发件人IP地址的对应关系。本实施例中,可以在每个检测周期中建立一个监控表项,上述监控表项用于存储该检测周期内接收到的邮件的收件人邮箱地址与发件人IP地址的对应关系。在每个检测周期中,接收到邮件后,可以先获得邮件的收件人邮箱地址和发件人IP地址。对于获得的每个收件人邮箱地址,可以在建立的监控表项中查找是否存在该收件人邮箱地址对应的哈希节点,若查找结果为不存在该收件人邮箱地址对应的哈希节点,则建立该收件人邮箱地址对应的哈希节点。其中,可以在每个收件人邮箱地址对应的哈希节点中存储该收件人邮箱地址和该收件人邮箱地址在检测周期的出现次数,同时在该哈希节点的从属节点中保存发件人IP地址和该发件人IP地址在检测周期中的出现次数。步骤305,统计获得的每个收件人邮箱地址在每个检测周期的出现次数。本实施例中,每个收件人邮箱地址在每个检测周期内出现次数初始数值为I ;若查找监控表项的结果为存在该收件人邮箱地址对应的哈希节点,则将查找到的哈希节点中存储的收件人邮箱地址在检测周期的出现次数加一,当一个检测周期结束时,根据建立的监控表项统计每个收件人邮箱地址在每个检测周期的出现次数。步骤306,将在预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为邮件攻击的目标地址。步骤307,根据对应关系统计目标地址对应的每个发件人IP地址的出现次数。本实施例中,在确定了邮件攻击的目标地址后,可以遍历该目标地址对应的哈希节点的所有从属节点,统计目标地址对应的每个发件人IP地址的出现次数。步骤308,将出现次数超过第三阈值的发件人IP地址确定为邮件攻击的攻击方IP地址,结束当前流程。由上可见,本发明实施例的检测邮件攻击的方法中,不仅检测结果更为准确,而且在确定检测到邮件攻击之后,先进一步确定邮件攻击的目标地址,然后再确定邮件攻击的攻击方IP地址,以便针对该攻击方IP地址进行限流,例如,阻止该攻击方IP地址发送邮件,从而使得防范邮件攻击时更有针对性,也更有效。如图4所示,为本发明检测邮件攻击的方法的网络架构示意图,其中,邮件服务器404负责电子邮件收发管理,攻击方设备401通过一个主控主机402和多个受控主机403发起邮件攻击,由于存在多个受控主机作为攻击主机,因此图4示出的邮件攻击方式属于分布式拒绝服务(英文全称为Distributed Denial of Service,简称DDoS)攻击,需要说明的是,图4示出的DDoS攻击方式仅为一种示例,对于其他类型的邮件攻击方式也可以采用本发明实施例进行检测,对此本发明实施例不进行限制。基于图4所示的网络架构,本发明的另一个实施例中可以采用下述处理方法:先获得预定数目个统计周期内每个统计周期的邮件数量,其中,在一个统计周期内,根据接收到的数据流的协议类型确定一个统计周期的邮件数量,当每个统计周期的邮件数量均与第一阈值相匹配时,确定检测到邮件攻击,然后进入检测模式,在每个检测周期中建立一个监控表项,上述监控表项用于存储该检测周期内接收到的邮件的收件人邮箱地址与发件人IP地址的对应关系。在一个检测周期中,接收到邮件后,先获得邮件的收件人邮箱地址和发件人IP地址。对于获得的每个收件人邮箱地址,在建立的监控表项中查找是否存在该收件人邮箱地址对应的哈希节点,若查找结果为不存在该收件人邮箱地址对应的哈希节点,则建立该收件人邮箱地址对应的哈希节点,在该哈希节点中存储该收件人邮箱地址和该收件人邮箱地址在检测周期的出现次数,出现次数初始数值为I ;若查找结果为存在该收件人邮箱地址对应的哈希节点,则将查找到的哈希节点中存储的收件人邮箱地址在检测周期的出现次数加一。同时在该哈希节点的从属节点中保存发件人IP地址和该发件人IP地址在检测周期中的出现次数,在检测周期内进行表项数据的刷新,当一个检测周期结束时,根据建立的监控表项获得每个收件人邮箱地址在该检测周期的出现次数,将在检测周期内出现次数超过第二阈值的收件人邮箱地址确定为邮件攻击的目标地址,然后再遍历该目标地址对应的哈希节点的所有从属节点,将出现次数(即发送给目标地址的邮件数目)超过第三阈值的发件人IP地址确定为邮件攻击的攻击方IP地址。如图5所示,为本发明上述检测邮件攻击的方法实施例中所建立的监控表项示意图,图中D代表收件人邮箱地址,Total (D)代表收件人邮箱地址D在检测周期的出现次数,D所对应的哈希节点共有三个从属节点,分别存储发件人IP地址IPl和其在该检测周期中的出现次数MCount(IPl)、发件人IP地址IP2和其在该检测周期中的出现次数MCount (IP2)以及发件人IP地址IP3和其在该检测周期中的出现次数MCount (IP3);图中M代表另一个收件人邮箱地址,Total (M)代表收件人邮箱地址M在检测周期的出现次数,M所对应的哈希节点共有4个从属节点,分别存储发件人IP地址IP4和其在该检测周期中的出现次数MCount (IP4)、发件人IP地址IP5和其在该检测周期中的出现次数MCount (IP5)、发件人IP地址IP6和其在该检测周期中的出现次数MCount (IP6)以及发件人IP地址IP7和其在该检测周期中的出现次数MCount (IP7)。与本发明检测邮件攻击的方法的实施例相对应,本发明还提供了检测邮件攻击的装置及设备的实施例。如图6所示为本发明检测邮件攻击的装置的一个实施例,所述装置包括:接收单元601、第一获得单元602和确定单元603。其中,接收单元601,用于接收数据流;第一获得单元602,用于获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述接收单元601接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;确定单元603,用于当所述第一获得单元602获得的预定数目个统计周期内每个统计周期内的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。采用本发明实施例的检测邮件攻击的检测装置,由第一获得单元602获得邮件流量参数,然后由确定单元603根据第一获得单元602获得的邮件流量参数,确定检测到邮件攻击,其中,第一获得单元602根据接收到的数据流的协议类型确定邮件流量参数。由上可见,当接收到的数据流中包含除邮件流量的其他数据流量时,第一获得单元602根据数据流的协议类型可以确定出接收到的数据流中包含的邮件流量,从而可以准确地确定邮件流量参数,使确定单元603确定检测到邮件攻击的检测结果更为准确。如图7所示为上述第一获得单元602的一个具体的实施例,所述第一获得单元602包括:协议类型分析子单元6021、邮件确定子单元6022和参数获得子单元6023。其中,协议类型分析子单元6021,用于在每个统计周期内,分析所述每个统计周期内接收到的数据流的协议类型;邮件确定子单元6022,用于当所述协议类型分析子单元6021分析出的数据流的协议类型属于邮件协议类型时,确定所述数据流为邮件;参数获得子单元6023,用于根据所述邮件确定子单,6022所确定的邮件获得所述每个统计周期内的邮件流量参数。在上述检测邮件攻击的检测装置的一个具体的实施例中,所述第一获得单元602获得的邮件流量参数包括:邮件数量;或新建的用于传输邮件的SMTP连接数;或用于传输邮件的SMTP并发连接增加数。如图8所示为本发明检测邮件攻击的装置的另一个实施例,所述装置包括:接收单元801、第一获得单元802、确定单元803、第二获得单元804、第一统计单元805和目标地址确定单元806。其中,接收单元801,用于接收数据流;第一获得单元802,用于获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述接收单元801接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;确定单元803,用于当所述第一获得单元802获得的预定数目个统计周期内每个统计周期内的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击;第二获得单元804,用于在所述确定单元803确定检测到邮件攻击之后,获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址;第一统计单元805,用于统计所述第二获得单元804获得的每个收件人邮箱地址在所述每个检测周期的出现次数;目标地址确定单元806,用于将所述第一统计单元805统计的在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为邮件攻击的目标地址。如图9所示为本发明检测邮件攻击的装置的另一个实施例,所述装置包括:接收单元901、第一获得单元902、确定单元903、第二获得单元904、第一统计单元905、目标地址确定单元906、第三获得单元907、对应关系建立单元908、第二统计单元909和攻击方地址确定单元910。其中,接收单元901,用于接收数据流;第一获得单元902,用于获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述接收单元901接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;确定单元903,用于当所述第一获得单元902获得的预定数目个统计周期内每个统计周期内的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击;第二获得单元904,用于在所述确定单元903确定检测到邮件攻击之后,获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址;第一统计单元905,用于统计所述第二获得单元904获得的每个收件人邮箱地址在所述每个检测周期的出现次数;目标地址确定单元906,用于将所述第一统计单元905统计的在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为邮件攻击的目标地址;第三获得单元907,用于在所述第二获得单元904获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人IP地址;对应关系建立单元908,用于建立所述每个检测周期中所述第二获得单元904获得的收件人邮箱地址和所述第三获得单元907获得的发件人IP地址的对应关系;第二统计单元909,用于在所述目标地址确定单元906确定目标地址之后,根据所述对应关系建立单元908建立的对应关系统计所述目标地址对应的每个发件人IP地址的出现次数;
攻击方地址确定单元910,用于将所述第二统计单元909统计的出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。如图10所示为本发明检测邮件攻击的设备的一个实施例,所述设备包括:网络接口 1001和处理器1002。其中,网络接口 1001,用于接收数据流;处理器1002,用于获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述网络接口 1001接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数,当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。在上述本发明检测邮件攻击的设备的一个具体的实施例中,所述处理器1002可以具体用于:在每个统计周期内,分析所述每个统计周期内所述网络接口接收到的数据流的协议类型,当所述协议类型属于邮件协议类型时,确定所述数据流为邮件,根据确定的邮件获得所述每个统计周期内的邮件流量参数。在上述本发明检测邮件攻击的设备的另一个具体的实施例中,所述处理器1002获得的邮件流量参数包括:邮件数量;或新建的用于传输邮件的SMTP连接数;或用于传输邮件的SMTP并发连接增加数。在上述本发明检测邮件攻击的设备的另一个具体的实施例中,所述处理器1002还可以用于:在所述确定检测到邮件攻击之后,获得预定数目个检测周期内每个检测周期所述网络接口 1001所接收到的邮件的收件人邮箱地址,统计获得的每个收件人邮箱地址在所述每个检测周期的出现次数,将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址。在上述本发明检测邮件攻击的设备的另一个具体的实施例中,所述处理器1002还可以用于:在所述获得预定数目个检测周期内每个检测周期所述网络接口 1001所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人IP地址,建立所述每个检测周期中收件人邮箱地址和发件人IP地址的对应关系,在所述将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址之后,根据所述对应关系统计所述目标地址对应的每个发件人IP地址的出现次数,将出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。需要说明的是,前述图6中示出的检测邮件攻击的装置可以集成在本实施例中示出的检测邮件攻击的设备中。在实际应用中,本发明实施例中的检测邮件攻击的设备可以具体为邮件服务器,或网关设备。专业人员还可以进一步应能意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明实施例的范围。结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明实施例。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明实施例的精神或范围的情况下,在其他实施例中实现。因此,本发明实施例将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。以上所述仅为本发明实施例的较佳实施例而已,并不用以限制本发明实施例,凡在本发明实施例的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
权利要求
1.一种检测邮件攻击的方法,其特征在于,包括: 接收数据流; 获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数; 当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。
2.如权利要求1所述的方法,其特征在于,所述根据接收到的数据流的协议类型确定所述每个统计周期内的邮件流量参数,包括: 分析所述每个统计周期内接收到的数据流的协议类型; 当所述协议类型属于邮件协议类型时,确定所述数据流为邮件; 根据确定的邮件获得所述每个统计周期内的邮件流量参数。
3.如权利要求1或2所述的方法,其特征在于,所述邮件流量参数包括: 邮件数量;或 新建的用于传输邮件的简单邮件传输协议SMTP连接数;或 用于传输邮件的SMTP并发连接增加数。
4.如权利要求1至3中任一权利要求所述的方法,其特征在于,在所述确定检测到邮件攻击之后,还包括: 获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址; 统计获得的每个收件人邮箱地址在所述每个检测周期的出现次数; 将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址。
5.如权利要求4所述的方法,其特征在于,还包括: 在所述获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人网络协议IP地址; 建立所述每个检测周期中收件人邮箱地址和发件人IP地址的对应关系; 在所述将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址之后,还包括: 根据所述对应关系统计所述目标地址对应的每个发件人IP地址的出现次数; 将出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。
6.一种检测邮件攻击的装置,其特征在于,包括: 接收单元,用于接收数据流; 第一获得单元,用于获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述接收单元接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数; 确定单元,用于当所述第一获得单元获得的预定数目个统计周期内每个统计周期内的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。
7.如权利要求6所述的装置,其特征在于,所述第一获得单元包括: 协议类型分析子单元,用于在每个统计周期内,分析所述每个统计周期内接收到的数据流的协议类型;邮件确定子单元,用于当所述协议类型分析子单元分析出的数据流的协议类型属于邮件协议类型时,确定所述数据流为邮件; 参数获得子单元,用于根据所述邮件确定子单元所确定的邮件获得所述每个统计周期内的邮件流量参数。
8.如权利要求6或7所述的装置,其特征在于,还包括: 第二获得单元,用于在所述确定单元确定检测到邮件攻击之后,获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址; 第一统计单元,用于统计所述第二获得单元获得的每个收件人邮箱地址在所述每个检测周期的出现次数; 目标地址确定单元,用于将所述第一统计单元统计的在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为邮件攻击的目标地址。
9.如权利要求8所述的装置,其特征在于,还包括: 第三获得单元,用于在所述第二获得单元获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人网络协议IP地址; 对应关系建立单元,用于建立所述每个检测周期中所述第二获得单元获得的收件人邮箱地址和所述第三获得单元获得的发件人IP地址的对应关系; 第二统计单元,用于在所述目标地址确定单元确定目标地址之后,根据所述对应关系建立单元建立的对应关系统计所述目标地址对应的每个发件人IP地址的出现次数; 攻击方地址确定单元,用于将所述第二统计单元统计的出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。
10.一种检测邮件攻击的设备,其特征在于,包括: 网络接口,用于接收数据流; 处理器,用于获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述网络接口接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数,当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。
11.如权利要求10所述的设备,其特征在于,所述处理器具体用于:在每个统计周期内,分析所述每个统计周期内所述网络接口接收到的数据流的协议类型,当所述协议类型属于邮件协议类型时,确定所述数据流为邮件,根据确定的邮件获得所述每个统计周期内的邮件流量参数。
12.如权利要求10或11所述的设备,其特征在于,所述处理器还用于:在所述确定检测到邮件攻击之后,获得预定数目个检测周期内每个检测周期所述网络接口所接收到的邮件的收件人邮箱地址,统计获得的每个收件人邮箱地址在所述每个检测周期的出现次数,将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址。
13.如权利要求12所述的设备,其特征在于,所述处理器还用于:在所述获得预定数目个检测周期内每个检测周期所述网络接口所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人网络协议IP地址,建立所述每个检测周期中收件人邮箱地址和发件人IP地址的对应关系,在所述将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址之后,根据所述对应关系统计所述目标地址对应的每个发件人IP地址的出现次数,将出现次数超过第三阈值的发件人IP地址确定为所述邮 件攻击的攻击方IP地址。
全文摘要
本发明实施例公开了一种检测邮件攻击的方法、装置及设备,该方法包括接收数据流;获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。应用本发明实施例,可以使邮件攻击的检测结果更为准确。
文档编号H04L12/58GK103078752SQ20121057928
公开日2013年5月1日 申请日期2012年12月27日 优先权日2012年12月27日
发明者蒋武, 董兴水 申请人:华为技术有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:蒋武;董兴水
  • 技术所有人:华为技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2