技术特征:
1.一种邮件检测方法,其特征在于,包括:通过第一规则对邮件进行检测,得到第一检测结果,其中,所述第一规则用于对所述邮件中的头文件特征进行检测;当所述第一检测结果为所述邮件为未知类型邮件时,通过第二规则对所述邮件进行检测,得到第二检测结果,其中,所述第二规则用于对所述邮件的静态特征进行检测,所述静态特征为所述邮件未被触发时的参数特征;当所述第二检测结果为所述邮件为所述未知类型邮件时,通过第三规则对所述邮件进行检测,得到第三检测结果,其中,所述第三规则用于对所述邮件的动态特征进行检测,所述动态特征为所述邮件被触发后产生的行为特征,所述第三检测结果包括正常邮件和垃圾邮件。2.根据权利要求1所述的方法,其特征在于,所述第一规则包括真实性检测规则以及格式规则;所述真实性规则用于通过所述邮件的头文件特征对所述邮件的真实性进行检测,所述格式规则用于对所述邮件的特定静态特征进行检测,所述特定静态特征包括所述邮件的发件人信息、标题信息以及关联参数;所述通过第一规则对邮件进行检测,得到第一检测结果,包括:从所述邮件中提取头文件特征,并通过所述真实性规则对所述头文件特征执行真实性检测,所述真实性检测包括对所述邮件的邮箱的真实性、发件地址的真实性以及邮件的完整性进行检测;当所述邮件通过所述真实性检测时,从所述邮件中提取特定静态特征,通过所述格式规则对所述特定静态特征进行检测,得到所述第一检测结果。3.根据权利要求2所述的方法,其特征在于,所述通过所述真实性规则对所述头文件特征执行真实性检测,包括:通过简单文本传输协议smtp对所述邮件执行邮箱真实性检测;和/或,通过发件人策略框架spf对所述邮件执行发件地址真实性检测;和/或,通过域名密钥识别邮件dkim对所述邮件执行邮件完整性检测;所述当所述邮件通过所述真实性检测时,从所述邮件中提取特定静态特征,通过所述格式规则对所述特定静态特征进行检测,得到所述第一检测结果,包括:当确定所述邮件通过所述邮箱真实性检测、发件地址真实性检测以及所述发件服务器真实性检测时,确定所述邮件通过所述真实性检测,并从所述邮件的静态特征中提取特定静态特征,通过所述格式规则对所述特定静态特征进行检测,得到所述第一检测结果。4.根据权利要求2所述的方法,其特征在于,所述从所述邮件中提取特定静态特征,通过所述格式规则对所述特定静态特征进行检测,得到所述第一检测结果,包括:检测所述邮件的发件人信息中是否存在发件人姓名异常和发件人地址异常中的至少一种,其中,当所述发件人姓名的长度超过第一预设长度或所述发件人姓名中存在第一预设字符,确定存在发件人姓名异常;当所述发件人地址的长度超过第二预设长度或所述发件人地址中存在第二预设字符,确定存在所述发件人地址异常;和/或,
检测所述邮件的标题信息是否存在标题异常,其中,当存在所述标题信息为空、所述标题信息中存在第三预设字符,以及所述标题信息中存在垃圾关键字中的至少一种,确定存在所述标题异常;和/或,获取所述邮件的关联参数,并检测所述邮件的关联参数是否存在参数异常,所述关联参数包括邮件数据量、邮件编码格式以及邮箱密码口令强度,当所述邮件数据量超过预设数据量、所述邮件编码格式为非预设编码格式以及所述邮箱密码口令强度低于预设口令强度中的至少一种,确定存在所述参数异常。5.根据权利要求1所述的方法,其特征在于,所述通过第二规则对所述邮件进行检测,得到第二检测结果包括:从所述邮件的静态特征中提取目标特征,并利用所述预设检测模型对所述目标特征执行预设操作,得到所述第二检测结果;其中,所述目标特征包括头文件特征、正文特征以及附件特征;其中,所述头文件特征包括元数据特征以及主题特征;所述元数据特征包括传输路径与邮件目标不匹配的数量,以及所述邮件的发件地址是否为黑名单地址;所述主题特征包括邮件主题字符数量、邮件主题中的垃圾字符数据以及主题词数;其中,所述正文特征包括正文描述性特征、可读性特征、正文中统一资源定位符url特征以及词汇特征;所述正文描述性特征包括正文中图像特征、超文本标记html特征以及正文数据类型数量;所述可读性特征包括正文中语言种类数量;所述正文中统一资源定位符url特征包括域名特征以及统一资源定位符url字符特征;所述词汇特征用于表征正文中垃圾词汇出现比例;其中,所述附件特征包括附件总数、附件数据量、附件包含文件类型数量以及附件包含目标类型文件的数量。6.根据权利要求1所述的方法,其特征在于,所述通过第三规则对所述邮件进行检测,得到第三检测结果,包括:确定所述邮件中是否存在统一资源定位符url或附件;当确定所述邮件中存在所述统一资源定位符url,且确定所述统一资源定位符url被触发后跳转至目标页面时,基于所述目标页面提取页面特征,并基于所述页面特征确定所述第三检测结果;当确定所述邮件中存在所述统一资源定位符url,且确定所述统一资源定位符url被触发后跳转至目标文件时,基于所述目标文件提取第一行为特征,并基于所述第一行为特征确定所述第三检测结果;其中,所述第一行为特征为开启所述目标文件后触发的行为的特征;当确定所述邮件中存在所述附件时,基于所述附件提取第二行为特征,并基于所述第二行为特征确定所述第三检测结果;其中,所述第二行为特征为开启所述附件后触发的行为的特征。7.根据权利要求6所述的方法,其特征在于,在所述确定所述邮件中是否存在统一资源定位符url或附件之后,所述方法还包括:当确定所述邮件中并未存在所述统一资源定位符url以及所述附件时,从所述邮件中
获取邮件内容特征,并基于所述邮件内容特征确定所述第三检测结果;其中,所述邮件内容特征包括文本关联性特征以及图像关联性特征;所述文本关联性特征是基于所述邮件的正文与所述邮件的标题之间的关联性确定的;所述图像关联性特征是基于所述邮件的图像与所述邮件的标题之间的关联性确定的。8.根据权利要求6所述的方法,其特征在于,所述当确定所述邮件中存在所述统一资源定位符url,且确定所述统一资源定位符url被触发后跳转至目标页面时,基于所述目标页面提取页面特征,并基于所述页面特征确定所述第三检测结果,包括:根据所述统一资源定位符url确定所述目标页面,并获取所述目标页面的页面属性;根据所述页面属性确定页面类别、相似页面、页面安全排名、被引用次数、访问次数中的至少一种,作为所述页面特征;当基于所述页面特征确定所述目标页面为常规页面时,确定所述第三检测结果为所述正常邮件,其中,当确定所述页面类别为预设页面类别、所述相似页面为常规页面、所述页面安全排名高于预设排名、所述被引用次数高于预设次数以及访问次数高于预设次数中的任意一种条件时,确定所述目标页面为所述常规页面;当基于所述页面特征确定所述目标页面并非为所述常规页面时,确定所述第三检测结果为所述垃圾邮件。9.根据权利要求6所述的方法,其特征在于,所述当确定所述邮件中存在所述附件时,基于所述附件提取第二行为特征,并基于所述第二行为特征确定所述第三检测结果,包括:利用预设工具执行对所述附件的开启操作,并将所述开启操作执行后触发的行为作为第二行为特征,并当所述第二行为特征与目标行为相匹配时,确定所述第三检测结果为所述垃圾邮件,其中,所述目标行为包括进程开启行为、网络访问行为、释放文件行为以及域名解析行为中的至少一种。10.根据权利要求3所述的方法,其特征在于,所述垃圾邮件还包括伪造邮件;在所述通过发件人策略框架spf对所述邮件执行发件地址真实性检测之后,所述方法还包括:当确定所述邮件未通过所述发件地址真实性检测时,确定所述邮件为伪造邮件。11.根据权利要求4所述的方法,其特征在于,所述垃圾邮件还包括探针邮件;所述探针邮件用于在被触发后盗取接收者的隐私数据;所述从所述邮件中提取特定静态特征,通过所述格式规则对所述特定静态特征进行检测,得到所述第一检测结果,包括:当确定所述邮件存在图像,获取图像比例,并判断所述图像比例是否存在异常,其中,所述图像比例为所述图像的相邻边长间的比例;当确定所述图像比例异常时,将所述邮件确定为探针邮件。12.一种邮件检测装置,其特征在于,包括:第一检测单元,用于通过第一规则对邮件进行检测,得到第一检测结果,其中,所述第一规则用于对所述邮件中的头文件特征进行检测;第二检测单元,用于当所述第一检测结果为所述邮件为未知类型邮件时,通过第二规则对所述邮件进行检测,得到第二检测结果,其中,所述第二规则用于对所述邮件的静态特征进行检测,所述静态特征为所述邮件未被触发时的参数特征;
第三检测单元,用于当所述第二检测结果为所述邮件为所述未知类型邮件时,通过第三规则对所述邮件进行检测,得到第三检测结果,其中,所述第三规则用于对所述邮件的动态特征进行检测,所述动态特征为所述邮件被触发后产生的行为特征,所述第三检测结果包括正常邮件和垃圾邮件。13.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至11中任一项所述的邮件检测方法。14.一种邮件检测装置,其特征在于,所述装置包括存储介质;及一个或者多个处理器,所述存储介质与所述处理器耦合,所述处理器被配置为执行所述存储介质中存储的程序指令;所述程序指令运行时执行权利要求1至11中任一项所述的邮件检测方法。
技术总结
本申请公开一种邮件检测方法及装置,涉及计算机技术领域。本申请的方法包括:通过第一规则对邮件进行检测,得到第一检测结果,其中,所述第一规则用于对所述邮件中的头文件特征进行检测;当所述第一检测结果为所述邮件为未知类型邮件时,通过第二规则对所述邮件进行检测,得到第二检测结果,其中所述第二规则用于对所述邮件的静态特征进行检测,所述静态特征为所述邮件未被触发时的参数特征;当所述第二检测结果为所述邮件为所述未知类型邮件时,通过第三规则对所述邮件进行检测,得到第三检测结果,所述第三规则用于对所述邮件的动态特征进行检测,所述动态特征为所述邮件被触发后产生的行为特征,所述第三检测结果包括正常邮件和垃圾邮件。和垃圾邮件。和垃圾邮件。
技术研发人员:杨彩霞 白皓文 汪列军
受保护的技术使用者:奇安信科技集团股份有限公司
技术研发日:2022.10.28
技术公布日:2023/3/14