钓鱼邮件检测方法、装置、电子设备及可读存储介质与流程

本技术涉及钓鱼邮件检测，具体而言，涉及一种钓鱼邮件检测方法、装置、电子设备及计算机可读存储介质。

背景技术：

1、钓鱼邮件攻击是指攻击者伪装成同事、合作伙伴、朋友、家人等用户信任的人，通过发送电子邮件的方式，诱使用户回复邮件、点击嵌入邮件正文的恶意链接、或者运行邮件中的恶意附件，进而窃取用户敏感数据(例如个人银行账户和密码、oa(officeautomation，办公自动化)帐号和密码、办公邮箱和密码等信息)，或者在设备上执行恶意代码的网络攻击活动。

2、目前钓鱼邮件检测的方法主要是基于黑名单的方法，使用的主要工具是黑名单，包括发件人黑名单和url(uniform resource locator，统一资源定位器)黑名单。检测的方法是提取邮件中的发件人地址和邮件正文中的url，查看是否在相应的黑名单中。这种方法的检出效果完全依赖于黑名单，但是黑名单的收集具有较大的局限性和滞后性，无法有效检测出钓鱼邮件。

技术实现思路

1、本技术实施例的目的在于提供一种钓鱼邮件检测方法、装置、电子设备及计算机可读存储介质，用以实现对于钓鱼邮件的准确检测。

2、本技术实施例提供了一种钓鱼邮件检测方法，包括：根据待测邮件的邮件内容对所述待测邮件进行检测，得到第一检测结果；所述待测邮件的邮件内容包括邮件头、邮件正文和邮件脚本；根据所述第一检测结果确定所述待测邮件是否为钓鱼邮件。

3、在上述实现过程中，通过结合待测邮件的邮件头、邮件正文和邮件脚本进行检测，从而基于钓鱼邮件与正常邮件之间在邮件头、邮件正文和邮件脚本之间的差异，实现了对于钓鱼邮件的准确检测。

4、进一步地，所述根据待测邮件的邮件内容对所述待测邮件进行检测，得到第一检测结果，包括：采用多个不同的分类模型分别对所述待测邮件的邮件内容进行检测，得到各所述分类模型的检测结果；根据各所述分类模型的检测结果确定所述第一检测结果。

5、在上述实现过程中，通过采用多个不同的分类模型分别对待测邮件的邮件内容进行检测，进而综合各个分类模型的检测结果得到第一检测结果，这就可以综合不同分类模型的优势，使得对于钓鱼邮件的检测可以更为准确，避免因某一类模型的性能而影响钓鱼邮件的识别准确性。

6、进一步地，在所述待测邮件的邮件正文中携带有url时，所述方法还包括：对所述url进行检测，得到第二检测结果；根据所述第一检测结果确定所述待测邮件是否为钓鱼邮件，包括：根据所述第一检测结果和所述第二检测结果确定所述待测邮件是否为钓鱼邮件。

7、url是钓鱼邮件中的重要特征之一，许多钓鱼邮件都是通过在邮件中携带钓鱼url，从而仿冒真实网站的url地址以及页面内容，以此来骗取用户银行卡号或信用卡账号、密码等私人资料。在上述实现过程中，通过专门对url进行检测得到第二检测结果，并综合第一检测结果和第二检测结果来确定待测邮件是否为钓鱼邮件，从而可以使得检测结果更为可靠。

8、进一步地，对所述url进行检测，得到第二检测结果，包括：在处于联网状态时，采用第一策略对所述url进行联网检测，得到所述第二检测结果；在处于未联网状态时，采用第二策略对所述url进行本地检测，得到所述第二检测结果。

9、在上述实现过程中，通过在联网状态时对url进行联网检测，从而可以利用网络优势，进行更为全面可靠的url检测，从而提高检测结果的可靠性。而在未联网状态时，对url进行本地检测，也可以保证无论何种网络状态，都可进行url检测，使得检测结果更为可靠。

10、进一步地，采用第一策略对所述url进行联网检测，包括：采用云端url检测模型对所述url进行检测，且打开所述url所对应目标页面，检测所述目标页面中是否包含敏感登录元素，并检测所述目标页面中是否包含登录框；其中，所述云端url检测模型为保存在云端的url检测模型。上述云端url检测模型接收到url后，会模拟浏览器打开url对应的目标页面，并基于打开后的目标页面来检测是否包含敏感登录元素，其中，云端可基于新收集到的url来定期训练和更新云端url检测模型，从而提升检测效果。

11、在上述实现过程中，通过云端url检测模型对url进行检测，实现了从机器学习角度的正常url与钓鱼url之间的区分，而通过进一步结合目标页面中是否包含敏感登录元素，以及是否包含登录框，从而综合了多个维度，降低了仅基于url检测模型进行检测所存在的漏检以及泛化性不足的问题，提高了检测准确性。

12、进一步地，检测所述目标页面中是否包含登录框，包括：采用图片登录框检测模型检测所述目标页面中是否包含登录框；其中，所述图片登录框检测模型通过以下方式训练得到：使用k-means算法对训练集中标注的登录框按照尺寸大小进行分类，并根据每类中的登录框的尺寸大小确定出各类对应的先验框的尺寸大小；使用efficientnet网络对所述训练集进行特征提取并输出检测出的候选框；其中，所述特征提取过程中存在多次下采样，每次下采样过程中使用与该次下采样相对应的尺寸大小的先验框进行特征框选，以输出所述候选框；根据各所述候选框的位置和所述训练集中的标注的登录框的位置将所述训练集的样本分为正样本和负样本；将所述正样本和所述负样本输入至图片登录框检测模型进行迭代训练；其中，所述图片登录框检测模型的主干网络为efficientnet网络。

13、在上述实现过程中，通过k-means算法可以快速实现对于已标记的登录框的归类，从而快速总结出各类登录框的尺寸特点，得到可信度高的先验框。而efficientnet网络通过对网络的宽度、深度和分辨率统一进行缩放，能够达到更高的精度上限，大幅度地缩小网络参数的同时提高预测准确度，从而使得对于目标页面中是否包含登录框的检测结果更为准确与可靠。

14、进一步地，在采用url检测模型对所述url进行检测，且打开所述url所对应目标页面之前，所述方法还包括：确定所述url是否存在于预设的钓鱼url库中。

15、在上述实现过程中，通过先基于预设的钓鱼url库对待测邮件中的url进行过滤，从而可以过滤掉明确具有钓鱼url的待测邮件。

16、进一步地，采用第二策略对所述url进行本地检测，包括：采用本地url检测模型对所述url进行检测；其中，所述本地url检测模型为本地保存的url检测模型。

17、在上述实现过程中，通过在本地设置url检测模型，可以保证即使在未联网的状态下，也可以进行对url进行检测，从而保证最终对于待测邮件的检测结果。

18、进一步地，所述待测邮件的中携带有附件；所述方法还包括：根据所述附件的类型，对所述附件进行处理。

19、在上述实现过程中，通过对待测邮件的中携带的附件进行处理，从而可以实现对于附件内的内容的检测，提高待测邮件的检测可靠性。

20、进一步地，根据所述附件的类型，对所述附件进行处理，包括：若所述附件为邮件格式，将所述附件的内容合并至所述邮件正文中。

21、邮件格式的附件为邮件软件本身所支持的格式，因此在上述实现过程中，通过将附件的内容合并至邮件正文中，从而可以在对待测邮件的邮件内容进行检测时，一并对附件进行检测，从而保证待测邮件的检测可靠性。

22、进一步地，根据所述附件的类型，对所述附件进行处理，包括：若所述附件为网页文件格式，对所述附件中携带的url进行检测，并检测所述附件中是否包含敏感登录元素，以得到第三检测结果；根据所述第一检测结果确定所述待测邮件是否为钓鱼邮件，包括：根据所述第一检测结果和所述第三检测结果确定所述待测邮件是否为钓鱼邮件。

23、在上述实现过程中，通过对于网页文件格式的附件进行url检测，并进行敏感登录元素检测，从而可以综合两方面的检测结果以得到最终的检测结果，使得检测可靠性更高，并提高本技术方案的泛化能力。

24、进一步地，根据所述附件的类型，对所述附件进行处理，包括：若所述附件为文本文件格式，检测所述附件是否携带有url，并在携带有所述url时，提取所述url进行检测，以得到第四检测结果；根据所述第一检测结果确定所述待测邮件是否为钓鱼邮件，包括：根据所述第一检测结果和所述第四检测结果确定所述待测邮件是否为钓鱼邮件。

25、在上述实现过程中，通过提取出文本文件格式的附件中携带的url进行检测，从而保证待测邮件的检测可靠性。

26、进一步地，在根据所述附件的类型，对所述附件进行处理之前，所述方法还包括：采用沙箱检测技术对所述附件的动态特征和静态特征进行检测。

27、在上述实现过程中，通过先对附件的动态特征和静态特征进行沙箱检测，从而可以实现对于附件的初筛，排除掉明确存在安全隐患的附件，从而降低需进行后续检测的待测邮件数量，降低功耗，提高检测效率。

28、进一步地，在根据待测邮件的邮件内容对所述待测邮件进行检测，得到第一检测结果之前，所述方法还包括：根据所述待测邮件的发件人和/或收件人的收发件历史行为数据，确定所述待测邮件是否为可疑邮件。

29、在上述实现过程中，通过先根据待测邮件的发件人和/或收件人的收发件历史行为数据，对待测邮件进行初筛，从而使得只需对可疑邮件进行是否为钓鱼邮件的检测，降低需进行后续检测的待测邮件数量，降低功耗，提高检测效率。

30、进一步地，在根据所述待测邮件的发件人和/或收件人的收发件历史行为数据，确定所述待测邮件为可疑邮件之后，根据待测邮件的邮件内容对所述待测邮件进行检测，得到第一检测结果之前，所述方法还包括：采用分类模型对所述待测邮件的邮件内容进行检查，确定所述待测邮件是否为风险邮件，若检查结果为风险邮件，则转入执行根据待测邮件的邮件内容对所述待测邮件进行检测，得到第一检测结果的步骤。

31、在上述实现过程中，通过采用分类模型对可疑邮件进行风险排查，从而基于机器学习技术滤除掉不存在风险的邮件，从而进一步降低需进行后续检测的待测邮件数量，降低功耗，提高检测效率。

32、本技术实施例还提供了一种钓鱼邮件检测装置，包括：钓鱼邮件内容检测模块，用于根据待测邮件的邮件内容对所述待测邮件进行检测，得到第一检测结果；所述待测邮件的邮件内容包括邮件头、邮件正文和邮件脚本；结果确定模块，用于根据所述第一检测结果确定所述待测邮件是否为钓鱼邮件。

33、本技术实施例还提供了一种电子设备，包括处理器和存储器；所述处理器用于执行存储器中存储的一个或者多个程序，以实现上述任一种的钓鱼邮件检测方法。

34、本技术实施例中还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现上述任一种的钓鱼邮件检测方法。