钓鱼邮件检测方法、装置、设备及计算机可读存储介质与流程

本发明涉及电子邮件检测
技术领域：
：，尤其涉及一种钓鱼邮件检测方法、装置、设备及计算机可读存储介质。
背景技术：
：：附件钓鱼，是一种常见的钓鱼邮件攻击手段。黑客将精心伪造的携带病毒附件的邮件发送到受害者的邮箱服务器，诱导受害者接收并打开病毒附件，然后病毒自动执行控制受害者的机器。这些病毒附件往往还存在漏洞利用和横向传播等功能，一旦受害者主机失陷，会向整个内网扩散传播，最终导致整个网络瘫痪。针对携带病毒附件的钓鱼邮件，当前常见的防护措施主要是在邮件入口处部署病毒邮件网关或附件沙箱。其中，病毒邮件网关对一些新的病毒附件或脚本类病毒附件往往无能为力，因为病毒网关的病毒库更新存在时效性问题，黑客在构造钓鱼附件时往往会对常见的病毒网关做免杀处理，从而使得钓鱼附件容易被绕过。而附件沙箱的方式存在处理速度低的问题，沙箱的检测需要频繁创建和销毁执行环境，所以查杀速度受限。此外，由于目前很多病毒具备反调试技术、反沙箱技术，导致无法准确识别出病毒附件、造成漏检的情况。因此，现有的钓鱼邮件检测方法存在漏检的情况，检测结果的准确率较差。技术实现要素：本发明的主要目的在于提供一种钓鱼邮件检测方法、装置、设备及计算机可读存储介质，旨在解决现有的钓鱼邮件检测结果的准确率较差的问题。为实现上述目的，本发明提供一种钓鱼邮件检测方法，所述钓鱼邮件检测方法包括：获取待检测邮件，检测所述待检测邮件中是否包含附件；若所述待检测邮件中包含附件，则获取所述附件的文件属性类型；根据所述文件属性类型对所述附件进行检测，得到第一检测结果；根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件。可选地，所述检测所述待检测邮件中是否包含附件的步骤包括：基于预设过滤规则对所述待检测邮件进行过滤处理，检测经过滤处理的待检测邮件中是否包含附件；其中，所述预设过滤规则包括以下至少一种：过滤邮件协议为预设邮件协议的待检测邮件，过滤源网际互连协议ip地址和目的ip地址不符合第一预设条件的待检测邮件，过滤发件人域名属于预设白名单域名列表的待检测邮件。可选地，若所述文件属性类型为办公文档，所述根据所述文件属性类型对所述附件进行检测，得到第一检测结果的步骤包括：检测所述附件中是否包含宏对象，得到第一检测子结果。可选地，若所述文件属性类型为可移植的执行体pe文件，所述根据所述文件属性类型对所述附件进行检测，得到第一检测结果的步骤包括：检测所述附件中是否存在预设特征字段块，得到第二检测子结果。可选地，若所述文件属性类型为除办公文档和pe文件外的其他类型，所述根据所述文件属性类型对所述附件进行检测，得到第一检测结果的步骤包括：获取所述待检测邮件的邮件协议，并通过预设匹配规则获取所述邮件协议中的文件属性字段；检测所述文件属性字段对应内容与所述附件的文件属性类型是否匹配，得到第三检测子结果。可选地，所述根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件的步骤之前，还包括：获取所述附件的附件名，检测所述附件名是否符合第二预设条件，得到第二检测结果；其中，所述第二预设条件包括以下至少一种：附件名中不包含中文，附件名中包含第一预设词，附件名的后缀为预设后缀；所述根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件的步骤包括：根据所述第一检测结果和所述第二检测结果判断所述待检测邮件是否为钓鱼邮件。可选地，所述根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件的步骤之前，还包括：获取所述待检测邮件的主题名，检测所述主题名是否符合第三预设条件，得到第三检测结果；其中，所述第三预设条件包括以下至少一种：主题名中不存在预设特定字符，主题名与附件名不一致，主题名中包含第二预设词；所述根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件的步骤包括：根据所述第一检测结果和所述第三检测结果判断所述待检测邮件是否为钓鱼邮件。此外，为实现上述目的，本发明还提供一种钓鱼邮件检测装置，所述钓鱼邮件检测装置包括：第一检测模块，用于获取待检测邮件，检测所述待检测邮件中是否包含附件；获取模块，用于若所述待检测邮件中包含附件，则获取所述附件的文件属性类型；第二检测模块，用于根据所述文件属性类型对所述附件进行检测，得到第一检测结果；判断模块，用于根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件。此外，为实现上述目的，本发明还提供一种钓鱼邮件检测设备，所述钓鱼邮件检测设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的钓鱼邮件检测程序，所述钓鱼邮件检测程序被所述处理器执行时实现如上所述的钓鱼邮件检测方法的步骤。此外，为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有钓鱼邮件检测程序，所述钓鱼邮件检测程序被处理器执行时实现如上所述的钓鱼邮件检测方法的步骤。本发明提供一种钓鱼邮件检测方法、装置、设备及计算机可读存储介质，通过获取待检测邮件，检测待检测邮件中是否包含附件；若待检测邮件中包含附件，则获取附件的文件属性类型；根据文件属性类型对附件进行检测，得到第一检测结果；根据第一检测结果判断待检测邮件是否为钓鱼邮件。本发明实施例中，从特殊附件格式的维度切入，可直接根据附件的文件属性类型对待检测邮件进行快速检测，以判断待检测邮件是否为钓鱼邮件，相比于现有技术中的附件沙箱的方式，本发明实施例无需频繁创建和销毁执行环境，因而可提高处理速度。同时，相比于现有技术中的病毒邮件网关的方式，本发明实施例中不存在病毒库更新时效性的问题，提升了对钓鱼附件的检测和感知能力，覆盖病毒网关设备的检测盲点，从而可避免漏检的情况，提高检测结果的准确率。附图说明图1为本发明实施例方案涉及的硬件运行环境的设备结构示意图；图2为本发明钓鱼邮件检测方法第一实施例的流程示意图；图3为本发明钓鱼邮件检测装置第一实施例的功能模块示意图。本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。具体实施方式应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。参照图1，图1为本发明实施例方案涉及的硬件运行环境的设备结构示意图。本发明实施例钓鱼邮件检测设备可以是服务器，也可以是pc(personalcomputer，个人计算机)、平板电脑、便携计算机等终端设备。如图1所示，该钓鱼邮件检测设备可以包括：处理器1001，例如cpu，通信总线1002，用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如wi-fi接口)。存储器1005可以是高速ram存储器，也可以是稳定的存储器(non-volatilememory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。本领域技术人员可以理解，图1中示出的钓鱼邮件检测设备结构并不构成对钓鱼邮件检测设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。如图1所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及钓鱼邮件检测程序。在图1所示的终端中，网络接口1004主要用于连接后台服务器，与后台服务器进行数据通信；用户接口1003主要用于连接客户端，与客户端进行数据通信；而处理器1001可以用于调用存储器1005中存储的钓鱼邮件检测程序，并执行以下操作：获取待检测邮件，检测所述待检测邮件中是否包含附件；若所述待检测邮件中包含附件，则获取所述附件的文件属性类型；根据所述文件属性类型对所述附件进行检测，得到第一检测结果；根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件。进一步地，处理器1001可以调用存储器1005中存储的钓鱼邮件检测程序，还执行以下操作：基于预设过滤规则对所述待检测邮件进行过滤处理；其中，所述预设过滤规则包括以下至少一种：过滤邮件协议为预设邮件协议的待检测邮件，过滤源网际互连协议ip地址和目的ip地址不符合第一预设条件的待检测邮件，过滤发件人域名属于预设白名单域名列表的待检测邮件；检测经过滤处理的待检测邮件中是否包含附件。进一步地，若所述文件属性类型为办公文档，处理器1001可以调用存储器1005中存储的钓鱼邮件检测程序，还执行以下操作：检测所述附件中是否包含宏对象，得到第一检测子结果。进一步地，若所述文件属性类型为可移植的执行体pe文件，处理器1001可以调用存储器1005中存储的钓鱼邮件检测程序，还执行以下操作：检测所述附件中是否存在预设特征字段块，得到第二检测子结果。进一步地，若所述文件属性类型为除办公文档和pe文件外的其他类型，处理器1001可以调用存储器1005中存储的钓鱼邮件检测程序，还执行以下操作：获取所述待检测邮件的邮件协议，并通过预设匹配规则获取所述邮件协议中的文件属性字段；检测所述文件属性字段对应内容与所述附件的文件属性类型是否匹配，得到第三检测子结果。进一步地，处理器1001可以调用存储器1005中存储的钓鱼邮件检测程序，还执行以下操作：获取所述附件的附件名，检测所述附件名是否符合第二预设条件，得到第二检测结果；其中，所述第二预设条件包括以下至少一种：附件名中不包含中文，附件名中包含第一预设词，附件名的后缀为预设后缀；根据所述第一检测结果和所述第二检测结果判断所述待检测邮件是否为钓鱼邮件。进一步地，处理器1001可以调用存储器1005中存储的钓鱼邮件检测程序，还执行以下操作：获取所述待检测邮件的主题名，检测所述主题名是否符合第三预设条件，得到第三检测结果；其中，所述第三预设条件包括以下至少一种：主题名中不存在预设特定字符，主题名与附件名不一致，主题名中包含第二预设词；根据所述第一检测结果和所述第三检测结果判断所述待检测邮件是否为钓鱼邮件。本发明钓鱼邮件检测设备具体实施方式与下述钓鱼邮件检测方法各实施例基本相同，在此不再赘述。基于上述硬件结构，提出本发明钓鱼邮件检测方法的各实施例。本发明提供一种钓鱼邮件检测方法。参照图2，图2为本发明钓鱼邮件检测方法第一实施例的流程示意图。在本实施例中，该钓鱼邮件检测方法包括：步骤s10，获取待检测邮件，检测所述待检测邮件中是否包含附件；本实施例的钓鱼邮件检测方法是由钓鱼邮件检测设备实现的，该设备以服务器为例进行说明。在本实施例中，可通过在客户端的邮件流量的旁路部署对应的邮件流量审计模块，以从过往的邮件流量中复制获取邮件数据流，并进行检测。具体的，获取待检测邮件，并检测待检测邮件中是否包括附件。可以理解，本发明实施例是根据邮件附件来检测待检测邮件是否为钓鱼邮件，因此，需先检测待检测邮件中是否包括附件。对于附件的检测，可通过检测邮件的attachment(附件)字段是否为空来判断，若attachment字段为空，则判定不包含附件；若attachment字段不为空，则判定包含附件。步骤s20，若所述待检测邮件中包含附件，则获取所述附件的文件属性类型；若待检测邮件中包含附件，则获取附件的文件属性类型，其中，文件属性类型可以为mime(multipurposeinternetmailextensions，多用途互联网邮件扩展)类型，本实施例中文件属性类型为以mime类型为例进行说明。其中，mime类型，是设定某种扩展名的文件用一种应用程序来打开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名，以及一些媒体文件打开方式。对于mime类型的获取，可通过文件头特征字段和内容识别的方式进行获取。具体的，对于办公文档和pe文件(portableexecutable，可移植的可执行的文件)这种存在规律结构的文件来说，可以获取附件的文件头特征字段，即可简单准确判断出mime类型，而对于文本和脚本类文件等其他类型的文件，可以使用内容识别的方式来获取mime类型。其中，办公文档即为office文档，包括word文档、excel文档、ppt文档等；pe文件，是微软windows操作系统上的程序文件，常见的exe、dll、ocx、sys、com都是pe文件。内容识别方式可以为检测附件内容中是否存在预设php(php:hypertextpreprocessor，超文本预处理器)函数、预设字段或预设关键词，若存在，则判定mime类型为除办公文档和pe文件外的其他类型。此外，若待检测邮件中不包含附件，则判定该待检测邮件不为钓鱼邮件。步骤s30，根据所述文件属性类型对所述附件进行检测，得到第一检测结果；步骤s40，根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件。然后，根据文件属性类型对所述附件进行检测，即根据mime类型对附件进行检测，得到第一检测结果，进而根据第一检测结果判断待检测邮件是否为钓鱼邮件。作为一实施方式，若所述文件属性类型为办公文档，步骤s30包括：步骤a1，检测所述附件中是否包含宏对象，得到第一检测子结果。若文件属性类型为办公文档，即mime类型为办公文档，检测附件中是否包含宏(macro)对象，得到第一检测子结果。若附件中包含宏对象，则判定待检测邮件为钓鱼邮件；若附件中不包含宏对象，则判定待检测邮件不为钓鱼邮件。需要说明的是，对于恶意钓鱼办公文档类的附件来说，宏代码是必要条件，即，黑客必须将攻击载荷(payload)写入办公文档的宏代码块中方可实现攻击。而由于办公文档类的文件存在一定的结构，可通过搜索办公文档中是否包含宏对象(即宏代码块)，来判断待检测邮件是否为钓鱼邮件。作为一实施方式，若所述文件属性类型为可移植的执行体pe文件，步骤s30包括：步骤a2，检测所述附件中是否存在预设特征字段块，得到第二检测子结果。若文件属性类型为pe文件，即mime类型为pe文件，检测附件中是否存在预设特征字段块，得到第二检测子结果。若附件中存在预设特征字段块，则判定待检测邮件为钓鱼邮件；若附件中不存在预设特征字段块，则判定待检测邮件不为钓鱼邮件。需要说明的是，为躲避邮件杀毒网关的查杀，通常会对钓鱼附件进行加壳处理，通过加壳处理可以隐藏真正的程序入口，使得杀毒网管或杀毒引擎无法进行有效的检测。而对附件进行加壳后，不同类型的壳会在附件文件有留下不同的表征字段块，因此，可通过搜索附件中是否存在预设特征字段块，来判断该附件是否被进行加壳处理，进而判断待检测邮件是否为钓鱼邮件。作为一实施方式，若所述文件属性类型为除办公文档和pe文件外的其他类型，步骤s30包括：步骤a3，获取所述待检测邮件的邮件协议，并通过预设匹配规则获取所述邮件协议中的文件属性字段；步骤a4，检测所述文件属性字段对应内容与所述附件的文件属性类型是否匹配，得到第三检测子结果。若文件属性类型为除办公文档和pe文件外的其他类型，即所述mime类型为除办公文档和pe文件外的其他类型，则通过预设匹配规则获取待检测邮件的邮件协议，并获取邮件协议中的文件属性字段，即mime字段。其中，预设匹配规则可以包括为正则表达式的方式。然后，检测mime字段对应内容与附件的mime类型是否匹配，得到第三检测子结果。若mime字段与mime类型不匹配，则判定待检测邮件为钓鱼邮件；若mime字段与mime类型匹配，则判定待检测邮件不为钓鱼邮件。例如，附件的mime是application/x-dosexec，但邮件协议里mime字段是image/png，说明该待检测邮件存在mime伪造行为，将pe文件的mime伪造成png图片mime，即，mime字段与mime类型不匹配，判定待检测邮件为钓鱼邮件。进一步地，在判定待检测邮件为钓鱼邮件时，可进行告警处理。本发明实施例提供一种钓鱼邮件检测方法，通过获取待检测邮件，检测待检测邮件中是否包含附件；若待检测邮件中包含附件，则获取附件的文件属性类型；根据文件属性类型对附件进行检测，得到第一检测结果；根据第一检测结果判断待检测邮件是否为钓鱼邮件。本发明实施例中，从特殊附件格式的维度切入，可直接根据附件的文件属性类型对待检测邮件进行快速检测，以判断待检测邮件是否为钓鱼邮件，相比于现有技术中的附件沙箱的方式，本发明实施例无需频繁创建和销毁执行环境，因而可提高处理速度。同时，相比于现有技术中的病毒邮件网关的方式，本发明实施例中不存在病毒库更新时效性的问题，提升了对钓鱼附件的检测和感知能力，覆盖病毒网关设备的检测盲点，从而可避免漏检的情况，提高检测结果的准确率。进一步地，基于图2所示的第一实施例，提出本发明钓鱼邮件检测方法的第二实施例。在本实施例中，在步骤“检测所述待检测邮件中是否包含附件”包括：步骤a，基于预设过滤规则对所述待检测邮件进行过滤处理，检测经过滤处理的待检测邮件中是否包含附件；其中，所述预设过滤规则包括以下至少一种：过滤邮件协议为预设邮件协议的待检测邮件，过滤源网际互连协议ip地址和目的ip地址不符合第一预设条件的待检测邮件，过滤发件人域名属于预设白名单域名列表的待检测邮件；在本实施例中，由于邮件数据流量通常较大，为提高钓鱼邮件的检测效率，可先对待检测邮件进行初步的过滤，直接过滤掉一部分不符合规则的待检测邮件，以避免其进入后续附件检测的处理逻辑，减少附件检测过程中的数据处理量。具体的，在接收到待检测邮件之后，先基于预设过滤规则对待检测邮件进行过滤处理，其中，预设过滤规则包括以下至少一种：过滤邮件协议为预设邮件协议的待检测邮件，过滤源网际互连协议ip地址和目的ip地址不符合第一预设条件的待检测邮件，过滤发件人域名属于预设白名单域名列表的待检测邮件。其中，预设邮件协议包括imap(internetmailaccessprotocol，交互式邮件存取协议)和pop3(postofficeprotocol3，邮局协议的第3个版本)。若待检测邮件的邮件协议为imap或pop3，则说明其不可能为钓鱼邮件，对其进行过滤处理。若待检测邮件的邮件协议不为imap或pop3，如为sntp(simplenetworktimeprotocol，简单网络时间协议)时，则不符合预设过滤规则，有可能为钓鱼邮件，则不进行过滤处理。第一预设条件为源ip(internetprotocol，网际互连协议)地址为互联网ip(即外网ip)，目的ip为局域网ip(即内网ip)。其中，源ip地址即为邮件发送方的ip地址，目的ip地址为邮件接收方的ip地址，若待检测邮件的源ip地址为互联网ip，目的ip为局域网ip，则说明该待检测邮件是由外网发至内网的，可能为钓鱼邮件，不进行过滤处理；若源ip地址和目的ip地址不符合第一预设条件，则说明其不可能为钓鱼邮件，对其进行过滤处理。预设白名单域名列表是预先设定的，若发件人域名属于预设白名单域名列表，则说明其不可能为钓鱼邮件，对其进行过滤处理；若发件人域名不属于预设白名单域名列表，则不符合预设过滤规则，可能为钓鱼邮件，不进行过滤处理。然后，检测经过滤处理的待检测邮件中是否包含附件，进而继续执行后续步骤，具体的执行过程可参照上述第一实施例，此处不作赘述。本实施例中，通过对待检测邮件进行初步的过滤处理，可过滤掉符合预设过滤规则的邮件，即过滤掉不可能为钓鱼邮件的待检测邮件，从而减少后续附件检测过程中的数据处理量，提高钓鱼邮件的检测效率。进一步地，基于上述各实施例，提出本发明钓鱼邮件检测方法的第三实施例。在本实施例中，在步骤s40之前，该钓鱼邮件检测方法还包括：步骤b，获取所述附件的附件名，检测所述附件名是否符合第二预设条件，得到第二检测结果；其中，所述第二预设条件包括以下至少一种：附件名中不包含中文，附件名中包含第一预设词，附件名的后缀为预设后缀；在本实施例中，为进一步提高钓鱼邮件检测结果的准确性，可将附件检测与附件名的检测相结合，来判断待检测邮件是否为钓鱼邮件。具体的，在基于文件属性类型(即mime类型)对附件进行检测，得到第一检测结果之后，还可以获取附件的附件名，然后，检测附件名是否符合第二预设条件，得到第二检测结果。其中，所述第二预设条件包括以下至少一种：附件名中不包含中文，附件名中包含第一预设词，附件名的后缀为预设后缀。其中，第一预设词可以为预先设置的常用钓鱼附件的英文单词，预设后缀可以为一些不常见类型，如.arj、.scr、.lnk等，因为正常用户场景时邮件附件是不会包含这类后缀名的。步骤s40包括：根据所述第一检测结果和所述第二检测结果判断所述待检测邮件是否为钓鱼邮件。然后，根据第一检测结果和第二检测结果判断待检测邮件是否为钓鱼邮件。若根据第一检测结果初步判定待检测邮件为钓鱼邮件，第二检测结果为附件名符合第二预设条件，则判定待检测邮件为钓鱼邮件。当然，可以理解，在具体实施时，若基于第一检测结果初步判定待检测邮件为钓鱼邮件，则可以继续获取附件的附件名，以进一步判断待检测邮件是否为钓鱼邮件；若基于第一检测结果初步判断待检测邮件不为钓鱼邮件，此时，则无需继续获取附件的附件名，即可直接判定待检测邮件不为钓鱼邮件。本实施例中，通过将附件检测与附件名的检测相结合，来判断待检测邮件是否为钓鱼邮件，可进一步提高钓鱼邮件检测结果的准确性。进一步地，基于上述各实施例，提出本发明钓鱼邮件检测方法的第三实施例。在本实施例中，在步骤s40之前，该钓鱼邮件检测方法还包括：步骤c，获取所述待检测邮件的主题名，检测所述主题名是否符合第三预设条件，得到第三检测结果；其中，所述第三预设条件包括以下至少一种：主题名中不存在预设特定字符，主题名与附件名不一致，主题名中包含第二预设词；在本实施例中，为进一步提高钓鱼邮件检测结果的准确性，可将附件检测与主题名的检测相结合，来判断待检测邮件是否为钓鱼邮件。具体的，在基于文件属性类型(即mime类型)对附件进行检测，得到第一检测结果之后，还可以获取待检测邮件的主题名，然后，检测主题名是否符合第三预设条件，得到第三检测结果。其中，第三预设条件包括以下至少一种：主题名中不存在预设特定字符，主题名与附件名不一致，主题名中包含第二预设词。其中，第二预设词为预先设置的常用钓鱼附件的主题词。需要说明的是，由于在邮件发送过程中，若主题名为中文名时，通常会通过编码的方式，将中文主题名转换成特殊格式的主题名，因此，若主题名中不存在预设特定字符，则判定该待检测邮件为钓鱼邮件；若主题名中存在预设特定字符，则判定该待检测邮件不为钓鱼邮件。此外，由于正常用户互相使用邮件传递正常文件时通常会忘记写主题，邮件客户端会默认将附件名称作为邮件主题名，因此，若主题名与附件名一致，则判定该待检测邮件不为钓鱼邮件；若主题名与附件名不一致，则判定该待检测邮件为钓鱼邮件。步骤s40包括：根据所述第一检测结果和所述第三检测结果判断所述待检测邮件是否为钓鱼邮件。然后，根据第一检测结果和第三检测结果判断待检测邮件是否为钓鱼邮件。若根据第一检测结果初步判定待检测邮件为钓鱼邮件，第三检测结果为主题名符合第三预设条件，则判定待检测邮件为钓鱼邮件。当然，可以理解，在具体实施时，若基于第一检测结果初步判定待检测邮件为钓鱼邮件，则可以继续获取待检测邮件的主题名，以进一步判断待检测邮件是否为钓鱼邮件；若基于第一检测结果初步判断待检测邮件不为钓鱼邮件，此时，则无需继续获取待检测邮件的主题名，即可直接判定待检测邮件不为钓鱼邮件。本实施例中，通过将附件检测与待检测邮件的主题名的检测相结合，来判断待检测邮件是否为钓鱼邮件，可进一步提高钓鱼邮件检测结果的准确性。此外，需要说明的是，在具体实施例中，还可以通过将附件检测同时与附件名、及待检测邮件的主题名的检测相结合，来判断待检测邮件是否为钓鱼邮件，以进一步提高钓鱼邮件检测结果的准确性。本发明还提供一种钓鱼邮件检测装置。参照图3，图3为本发明钓鱼邮件检测装置第一实施例的功能模块示意图。如图3所示，所述钓鱼邮件检测装置包括：第一检测模块10，用于获取待检测邮件，检测所述待检测邮件中是否包含附件；获取模块20，用于若所述待检测邮件中包含附件，则获取所述附件的文件属性类型；第二检测模块30，用于根据所述文件属性类型对所述附件进行检测，得到第一检测结果；判断模块40，用于根据所述第一检测结果判断所述待检测邮件是否为钓鱼邮件。进一步地，所述钓鱼邮件检测装置还包括：过滤模块，用于基于预设过滤规则对所述待检测邮件进行过滤处理；其中，所述预设过滤规则包括以下至少一种：过滤邮件协议为预设邮件协议的待检测邮件，过滤源网际互连协议ip地址和目的ip地址不符合第一预设条件的待检测邮件，过滤发件人域名属于预设白名单域名列表的待检测邮件；所述第一检测模块具体用于：检测经过滤处理的待检测邮件中是否包含附件。进一步地，若所述文件属性类型为办公文档，所述第二检测模块30包括：第一检测单元，用于检测所述附件中是否包含宏对象，得到第一检测子结果。进一步地，若所述文件属性类型为可移植的执行体pe文件，所述第二检测模块30包括：第二检测单元，用于检测所述附件中是否存在预设特征字段块，得到第二检测子结果。进一步地，若所述文件属性类型为除办公文档和pe文件外的其他类型，所述第二检测模块30包括：获取单元，用于获取所述待检测邮件的邮件协议，并通过预设匹配规则获取所述邮件协议中的文件属性字段；第三检测单元，用于检测所述文件属性字段对应内容与所述附件的文件属性类型是否匹配，得到第三检测子结果。进一步地，所述钓鱼邮件检测装置还包括：第三检测模块，用于获取所述附件的附件名，检测所述附件名是否符合第二预设条件，得到第二检测结果；其中，所述第二预设条件包括以下至少一种：附件名中不包含中文，附件名中包含第一预设词，附件名的后缀为预设后缀；所述判断模块40具体用于：根据所述第一检测结果和所述第二检测结果判断所述待检测邮件是否为钓鱼邮件。进一步地，所述钓鱼邮件检测装置还包括：第四检测模块，获取所述待检测邮件的主题名，检测所述主题名是否符合第三预设条件，得到第三检测结果；其中，所述第三预设条件包括以下至少一种：主题名中不存在预设特定字符，主题名与附件名不一致，主题名中包含第二预设词；所述判断模块40具体用于：根据所述第一检测结果和所述第三检测结果判断所述待检测邮件是否为钓鱼邮件。其中，上述钓鱼邮件检测装置中各个模块的功能实现与上述钓鱼邮件检测方法实施例中各步骤相对应，其功能和实现过程在此处不再一一赘述。本发明还提供一种计算机可读存储介质，该计算机可读存储介质上存储有钓鱼邮件检测程序，所述钓鱼邮件检测程序被处理器执行时实现如以上任一项实施例所述的钓鱼邮件检测方法的步骤。本发明计算机可读存储介质的具体实施例与上述钓鱼邮件检测方法各实施例基本相同，在此不作赘述。需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的
技术领域：
：，均同理包括在本发明的专利保护范围内。当前第1页12当前第1页12