仿冒邮件检测方法、装置及设备与流程

本发明涉及信息安全
技术领域：
，具体而言，涉及一种仿冒邮件检测方法、装置及设备。
背景技术：
：众所周知邮件系统在日常办公中有着不可或缺的地位，尽管出现了微信、oa等其他的沟通交流方式，但是依然取代不了个人、企业、政府等用户将邮箱系统作为通讯、传输文件工具的重要地位。邮箱别名可以允许将多个名字映射到同一个邮箱用户名，一同使用。如：您的邮箱名字是abc@xxx.com，如果需要针对不同客户，使用不同的别名发邮件，则可以将别名设置为abc001@xxx.com、abc002@xxx.com等，发件人使用任何一个邮箱别名发送邮件，收件人均可以收到，收件人也会看到发件人是用哪个别名发送邮件的。由于邮箱系统保存着政府、党政机关、各企事业单位的大量敏感信息，对于一些涉密部门，更是经常成为被攻击的目标，通过攻陷邮箱系统来获取企业、政府敏感信息，以及敏感文件，特别是邮箱跨站、挂马、欺骗等已经成为邮箱攻击的最常使用的手段。技术实现要素：针对上述现有技术中存在的问题，本发明提供了一种仿冒邮件检测方法、装置及设备，可以快速、准确的识别仿冒邮件，保护企业及政府敏感信息和敏感文件，提高邮箱使用的安全性。第一方面，本发明实施例提供了一种仿冒邮件检测方法，其中，包括：提取待接收邮件的发件人信息；查找邮件别名信息库中是否存在与所述发件人信息匹配的邮件别名信息条目；如果是，则接收所述待接收邮件；如果否，则根据比对结果发出相应的告警信息。结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述提取待接收邮件的发件人信息的步骤之前，所述方法还包括：配置所述待接收邮件包含的服务器信息；其中，所述服务器信息包括服务器ip和服务端口；根据流量镜像，获取经由所述服务器信息的流量信息；根据所述流量信息，确定所述待接收邮件的发件人信息。结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述查找邮件别名信息库中是否存在与所述发件人信息匹配的邮件别名信息条目的步骤，包括：从所述发件人信息中提取邮件发件人和邮件别名；从所述邮件别名信息库中查找所述邮件发件人和所述邮件别名；其中，所述邮件别名信息库中的每条邮件别名信息条目至少包括邮件发件人和邮件别名；如果所述邮件发件人和邮件别名与所述邮件别名信息库中的任意一条邮件别名信息条目中的邮件发件人和邮件别名均对应，则所述邮件别名信息库中存在与所述发件人信息匹配的邮件别名信息条目；如果所述邮件发件人和邮件别名与所述邮件别名信息库中的任意一条邮件别名信息条目中的邮件发件人和/或邮件别名不对应，则所述邮件别名信息库中不存在与所述发件人信息匹配的邮件别名信息条目。结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述方法还包括：判断所述邮件发件人是否处于学习状态。结合第一方面的第三种可能的实施方式，本发明实施例提供了第一方面的第四种可能的实施方式，其中，判断所述邮件发件人是否处于学习状态的步骤，包括：提取所述待接收邮件的建立时间和学习标志；根据所述建立时间和所述学习标志判断所述邮件发件人是否处于学习状态。结合第一方面，本发明实施例提供了第一方面的第五种可能的实施方式，其中，所述根据比对结果发出相应的告警信息的步骤，包括：如果在所述邮件别名信息库中均未找到所述邮件发件人和邮件别名，则发出第一告警信息，以提示用户在所述邮件别名信息库中未找到所述邮件发件人和邮件别名；如果在所述邮件别名信息库中未找到所述邮件发件人但找到邮件别名，则发出第二告警信息，以提示用户所述待接收邮件疑似仿冒邮件；如果在所述邮件别名信息库中找到所述邮件发件人没有找到邮件别名且所述邮件发件人处于学习状态，则发出第三告警信息，以提示用户在所述邮件别名信息库中未找到所述邮件别名；如果在所述邮件别名信息库中找到所述邮件发件人但没有找到所述邮件别名，且所述邮件发件人未处于学习状态，则发出第四告警信息，以提示用户不处于学习状态。结合第一方面的第五种可能的实施方式，本发明实施例提供了第一方面的第六种可能的实施方式，其中，所述方法还包括：发出第一告警信息后并接收到用户发出的第一指令，执行所述第一指令将所述发件人信息加入所述邮件别名信息库中，并记录所述邮件别名和所述建立时间；发出第二告警信息后并接收到用户发出的第二指令，执行所述第二指令将所述发件人信息加入所述邮件别名信息库中，并记录所述邮件别名和所述建立时间；发出第三告警信息后并接收到用户发出的第三指令，执行第三指令，并记录所述邮件别名；发出第四告警信息后并接收到用户发出的第四指令，执行第四指令，不记录所述邮件发件人和所述邮件别名。第二方面，本发明实施例还提供了一种仿冒邮件检测装置，其中，包括：提取模块，用于待接收邮件的发件人信息；查找模块，用于查找邮件别名信息库中是否存在与所述发件人信息匹配的邮件别名信息条目；接收模块，用于当邮件别名信息库中存在与所述发件人信息匹配的邮件别名信息条目时，接收所述待接收邮件；告警信息发出模块，用于邮件别名信息库中不存在与所述发件人信息匹配的邮件别名信息条目时，根据比对结果发出相应的告警信息。第三方面，本发明实施例还提供了一种仿冒邮件检测设备，其中，包括：存储器以及处理器，所述存储器用于存储并支持处理器执行第一方面的任一项所述方法的程序，所述处理器被配置为用于执行所述存储器中存储的程序。第四方面，本发明实施例还提供了一种计算机可读存储介质，其中，所述程序代码使所述处理器执行第一方面的任一所述方法。本发明实施例带来了以下有益效果：本发明实施例提供的邮件别名检测方法、装置及设备，通过提取待接收邮件的发件人信息，然后查找邮件别名信息库中是否存在与发件人信息匹配的邮件别名信息条目，如果存在，则可以认为该待接收邮件为安全邮件，接收待接收邮件，如果不存在，根据比对结果发出相应的告警信息，提示用户着重判断该待接收邮件的安全性，并警惕该待接收邮件是否为仿冒邮件，从而保证快速、准确的识别仿冒邮件，保护企业及政府敏感信息和敏感文件，提高邮箱使用的安全性。本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。附图说明为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本发明实施例所提供的仿冒邮件检测方法的流程图；图2为本发明实施例所提供的判断邮件发件人是否处于学习状态的流程图；图3为本发明实施例所提供的仿冒邮件检测装置的结构框图；图4为本发明实施例所提供的仿冒邮件检测设备的结构框图。具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。针对现有的通过邮箱跨站、挂马、欺骗等手段攻陷政府、党政机关、各企事业单位的邮箱系统来获取一些涉密部门的敏感信息的问题，本发明实施例提供了一种仿冒邮件检测方法、装置及设备，以下首先对本发明的仿冒邮件检测方法进行详细介绍。实施例一本实施例提供了一种仿冒邮件检测方法，图1为仿冒邮件检测方法的流程图，该方法包括：步骤s102，提取待接收邮件的发件人信息。可以理解的是，发件人信息可以包括邮件发件人、邮件别名、字段id、学习周期、建立时间和学习标志等。需要说明的是，提取待接收邮件的发件人信息的步骤之前，需要配置待接收邮件包含的服务器信息，其中，服务器信息包括服务器ip和服务端口，然后根据流量镜像，获取经由服务器信息的流量信息，再根据流量信息，确定待接收邮件的发件人信息。具体地，流量端口是通过在交换机或路由器上，将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听，指定端口称之为“镜像端口”或“目的端口”，在不严重影响源端口正常吞吐流量的情况下，可以通过镜像端口对网络的流量进行监控分析，其中，服务器端口信息可以选择服务器ip：192.168.32.6，端口：993，根据服务器信息和流量端口形成的镜像获取经由服务器信息的流量信息，然后获取流量信息中包含的from、date标识值，其中，from标识值内包含邮件发件人和邮件别名，date标识值包括待接收邮件的建立日期，比如：在待接收邮件中，from:"张三"<san.zhang@abc.com.cn>，date:thu,23aug201806:26:03+0800，则邮件别名为张三，邮件发件人：san.zhang@abc.com.cn，建立时间：thu,23aug201806:26:03，从而提取出待接收邮件的发件人信息。步骤s104，查找邮件别名信息库中是否存在与发件人信息匹配的邮件别名信息条目；如果是，执行步骤s106；如果否，执行步骤s108。具体地，首先从发件人信息中提取邮件发件人和邮件别名，然后从邮件别名信息库中查找邮件发件人和邮件别名，其中，邮件别名信息库中的每条邮件别名信息条目至少包括邮件发件人和邮件别名，然如果待接收邮件的邮件发件人和邮件别名与邮件别名信息库中的任意一条邮件别名信息条目中的邮件发件人和邮件别名均对应，则邮件别名信息库中存在与发件人信息匹配的邮件别名信息条目，执行步骤s106，接收待接收邮件；如果邮件发件人和邮件别名与邮件别名信息库中的任意一条邮件别名信息条目中的邮件发件人和/或邮件别名不对应，则邮件别名信息库中不存在与发件人信息匹配的邮件别名信息条目，执行步骤s108，根据比对结果发出相应的告警信息。具体地，如下表所示邮件别名信息库中存储有如下发件人信息，分别包括邮件别名、邮件发件人、建立时间、学习周期和学习标志。邮件别名邮件发件人建立时间学习周期学习标志张三san.zhang@abc.com.cn2018/8/24两天1如果待接收邮件的发件人信息中的邮件别名为张三，邮件发件人为san.zhang@abc.com.cn，则说明邮件别名信息库中存在与发件人信息匹配的邮件别名信息条目；如果待接收邮件的发件人信息中的邮件别名为张三，邮件发件人为si.li@bcd.com.cn，或者、待接收邮件的发件人信息中的邮件别名为李四，邮件发件人为san.zhang@abc.com.cn，或者、待接收邮件的发件人信息中的邮件别名为王五，邮件发件人为wu.wang@cde.com.cn，则说明邮件别名信息库中不存在与发件人信息匹配的邮件别名信息条目，然后根据比对结果发出相应的告警信息。步骤s106，接收待接收邮件。如果邮件发件人和邮件别名与邮件别名信息库中的任意一条邮件别名信息条目中的邮件发件人和邮件别名均对应，则邮件别名信息库中存在与发件人信息匹配的邮件别名信息条目，则该邮件为正常邮件，正常接收待接收邮件。步骤s108，根据对比结果发出相应的告警信息。具体地，根据比对结果发出相应的告警信息的步骤，包括：如果在邮件别名信息库中均未找到邮件发件人和邮件别名，则发出第一告警信息，以提示用户在邮件别名信息库中未找到邮件发件人和邮件别名，其中，第一告警信息为“未找到该发件人，是否加入”。进一步地，当发出第一告警信息后并接收到用户发出的第一指令，执行第一指令将发件人信息加入邮件别名信息库中，并记录邮件别名和建立时间，其中，第一指令为用户确定将发件人信息加入邮件别名信息库中的指令，如果不将发件人信息加入邮件别名信息库中的指令，则告警结束。如果在邮件别名信息库中未找到邮件发件人但找到邮件别名，则发出第二告警信息，以提示用户待接收邮件疑似仿冒邮件，其中，第二告警信息为“未找到邮件发件人，找到邮件别名，待接收邮件可能为仿冒邮件，是否加入”。进一步地，发出第二告警信息后并接收到用户发出的第二指令，执行第二指令将发件人信息加入邮件别名信息库中，并记录邮件别名和建立时间，其中，第二指令为用户判断待接收邮件不是仿冒邮件后并确定将发件人信息加入邮件别名信息库中的指令，如果用户确定待接收邮件为仿冒邮件或者不将发件人信息加入邮件别名信息库中的指令，则告警结束。如果在邮件别名信息库中找到邮件发件人没有找到邮件别名且邮件发件人处于学习状态，则发出第三告警信息，以提示用户在邮件别名信息库中未找到邮件别名，其中，第三告警信息为“找到邮件发件人，未找到邮件别名，是否加入”。进一步地，发出第三告警信息后并接收到用户发出的第三指令，执行第三指令，并记录邮件别名，其中，第三指令为用户确定记录待接收邮件别名的指令，如果用户不确定接收邮件别名的指令，则告警结束。如果在邮件别名信息库中找到邮件发件人但没有找到邮件别名，且邮件发件人未处于学习状态，则发出第四告警信息，以提示用户不处于学习状态，其中，第四告警信息为“邮件发件人未处于学习状态”。进一步地，发出第四告警信息后并接收到用户发出的第四指令，执行第四指令，不记录邮件发件人和邮件别名，其中，第四指令为用户确定不记录邮件发件人和邮件别名的指令，则告警结束。进一步地，对比结果发出相应的告警信息的过程中，还需要判断邮件发件人是否处于学习状态。如图2所示为判断邮件发件人是否处于学习状态的流程图，该方法包括：步骤202，提取待接收邮件的建立时间和学习标志。待接收邮件中包括学习周期和学习标志，可以理解的是，学习周期可以设置存在也可以设置不存在。步骤204，根据建立时间和学习标志判断邮件发件人是否处于学习状态。具体地，根据建立时间判断邮件发件人是否处于学习状态的方法为：将待接收邮件的建立时间和学习周期之和与当前时间进行比较，如果待接收邮件的建立时间和学习周期之和超出当前时间，则判定待接收邮件不处于学习状态；如果待接收邮件的建立时间和学习周期之和未超出当前时间，则判定待接收邮件处于学习状态。进一步地，还可以根据学习标志判断待接收邮件是否处于学习状态，如果学习标志为1则代表处于学习状态，如果学习标志为0则代表未处于学习状态。例如下表为待接收邮件的发件人信息，如果当前时间为2018/8/26，判定邮件发件人为san.zhang@abc.com.cn的待接收邮件超出学习周期，且学习标志为0，邮件发件人为si.li@bcd.com.cn的待接收邮件未超出学习周期，并且学习标志为1，则确定邮件发件人为san.zhang@abc.com.cn的待接收邮件未处于学习状态，而邮件发件人为si.li@bcd.com.cn的待接收邮件处于学习状态。邮件别名邮件发件人建立时间学习周期学习标志张三san.zhang@abc.com.cn2018/8/24两天0李四si.li@bcd.com.cn2018/8/25两天1本发明实施例提供的仿冒邮件检测方法，通过提取待接收邮件的发件人信息，然后查找邮件别名信息库中是否存在与发件人信息匹配的邮件别名信息条目，如果存在，则可以认为该待接收邮件为安全邮件，接收待接收邮件，如果不存在，根据比对结果发出相应的告警信息，提示用户着重判断该待接收邮件的安全性，并警惕该待接收邮件是否为仿冒邮件，从而保证快速、准确的识别仿冒邮件，保护企业及政府敏感信息和敏感文件，提高邮箱使用的安全性。实施例二与上述方法实施例相对应地，本实施例提供了一种仿冒邮件检测装置，如图3所示，该装置包括：提取模块31，用于提取待接收邮件的发件人信息。查找模块32，用于查找邮件别名信息库中是否存在与发件人信息匹配的邮件别名信息条目。接收模块33，用于当邮件别名信息库中存在与发件人信息匹配的邮件别名信息条目时，接收待接收邮件。告警信息发出模块34，用于邮件别名信息库中不存在与发件人信息匹配的邮件别名信息条目时，根据比对结果发出相应的告警信息。其中，提取模块31还可以用于：提取邮件别名信息库中的邮件别名信息条目。本发明实施例提供的仿冒邮件检测装置，包括提取模块、查找模块、接收模块和告警信息发出模块，通过提取模块提取待接收邮件的发件人信息，然后利用查找模块查找邮件别名信息库中是否存在与发件人信息匹配的邮件别名信息条目，如果存在，则可以认为该待接收邮件为安全邮件，接收待接收邮件，如果不存在，根据比对结果发出相应的告警信息，提示用户着重判断该待接收邮件的安全性，并警惕该待接收邮件是否为仿冒邮件，从而保证快速、准确的识别仿冒邮件，保护企业及政府敏感信息和敏感文件，提高邮箱使用的安全性。实施例三本发明实施例提供了一种仿冒邮件检测设备，如图4所示，该设备包括存储器41、处理器42，存储器41中存储有可在处理器42上运行的计算机程序，处理器执行计算机程序时实现上述仿冒邮件检测方法提供的步骤。如图4所示，该设备还包括：总线43和通信接口44，处理器42、通信接口44和存储器41通过总线43连接；处理器42用于执行存储器41中存储的可执行模块，例如计算机程序。其中，存储器41可能包含高速随机存取存储器(ram，randomaccessmemory)，也可能还包括非易失性存储器(non-volatilememory)，例如至少一个磁盘存储器。通过至少一个通信接口44(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。总线43可以是isa总线、pci总线或eisa总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图4中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。其中，存储器41用于存储程序，处理器42在接收到执行指令后，执行程序，前述本发明任一实施例揭示的仿冒邮件检测装置所执行的方法可以应用于处理器42中，或者由处理器42实现。处理器42可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器42中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器42可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(digitalsignalprocessing，简称dsp)、专用集成电路(applicationspecificintegratedcircuit，简称asic)、现成可编程门阵列(field-programmablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器41，处理器42读取存储器41中的信息，结合其硬件完成上述方法的步骤。进一步地，本发明实施例还提供了一种机器可读存储介质，该机器可读存储介质存储有机器可执行指令，该机器可执行指令在被处理器调用和执行时，机器可执行指令促使处理器实现上述的仿冒邮件检测方法。本发明实施例提供的仿冒邮件检测方法、装置和设备具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。需要说明的是，在本发明所提供的实施例中，应该理解到，所揭露系统和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外，在本发明提供的实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本
技术领域：
的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。当前第1页12