本公开涉及网络安全,尤其涉及基于主机流量的钓鱼邮件检测方法、装置。
背景技术:
1、现有的钓鱼邮件检测技术常见有两种模式:
2、①部署于邮件服务器。此种方式将检测程序部署在邮件服务器,通过邮件服务器直接拿到电子邮件的邮件内容,进而分析电子邮件是否为钓鱼邮件。
3、②部署于邮件客户端。邮件检测程序部署在邮件客户端主机,通过以旁路方式监控主机网卡流量来实现邮件接收动作识别,提取出邮件内容,进而分析电子邮件是否为钓鱼邮件。
4、对于第一种模式下,如果是将其作为端点检测和响应,那么部署于邮件服务器的钓鱼邮件检测方式无法适用,存在局限性。对于第二种模式,部署于邮件客户端的钓鱼邮件检测方式,更多是以旁路方式对邮件流量进行监控,只能实现非加密流量报文的识别,随着基于ssl加密邮局协议的普及,此种方式的可靠性和实用性会越来越低。
技术实现思路
1、本公开提供了一种基于主机流量的钓鱼邮件检测方法、装置。
2、根据本公开的第一方面,提供了一种基于主机流量的钓鱼邮件检测方法。该方法包括:
3、拦截邮件客户端的出栈邮件数据;
4、从所述出栈邮件数据中提取出栈邮件信息,并对所述出栈邮件信息进行钓鱼邮件检测,生成第一检测结果;
5、将所述出栈邮件数据和所述第一检测结果转发至邮件服务器;
6、拦截邮件客户端的入栈邮件数据;
7、从所述入栈邮件数据中提取入栈邮件信息,并对所述入栈邮件信息进行钓鱼邮件检测,生成第二检测结果;
8、将所述入栈邮件数据和所述第二检测结果转发至所述邮件客户端。
9、如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,
10、所述拦截邮件客户端的出栈邮件数据,包括:
11、预先拦截邮件客户端的出栈报文;
12、从所述出栈报文中提取目的ip;
13、将所述目的ip修改为自身ip,与所述邮件客户端建立连接,以便于拦截所述邮件客户端的出栈邮件数据。
14、如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述拦截邮件客户端的入栈邮件数据,包括:
15、预先拦截邮件客户端的入栈报文;
16、从所述入栈报文中提取源ip;
17、将所述源ip修改为自身ip,与所述邮件服务器建立连接,以便于拦截所述邮件客户端的入栈邮件数据。
18、如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,在将所述出栈邮件数据和所述第一检测结果转发至邮件服务器之前,包括:
19、将所述出栈邮件数据对应的报文中的自身ip修改为目的ip。
20、如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,在将所述入栈邮件数据和所述第二检测结果转发至所述邮件客户端之前,包括:
21、将所述入栈邮件数据对应的报文中的自身ip修改为源ip。
22、如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述方法还包括:
23、将所述目的ip与所述源ip分别存储至对应的消息队列。
24、如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,邮件信息包括邮件头、邮件正文和附件;
25、所述对所述出栈邮件信息进行钓鱼邮件检测,生成第一检测结果,包括:
26、对所述邮件头、邮件正文进行内置规则匹配检测,以及对所述附件进行木马查杀检测;
27、根据检测结果生成对应等级的钓鱼邮件告警信息,作为第一检测结果。
28、根据本公开的第二方面,提供了一种基于主机流量的钓鱼邮件检测装置。该装置包括:
29、邮件拦截模块,用于拦截邮件客户端的出栈邮件数据,以及拦截邮件客户端的入栈邮件数据;
30、邮件检测模块,用于从所述出栈邮件数据中提取出栈邮件信息,并对所述出栈邮件信息进行钓鱼邮件检测,生成第一检测结果;以及从所述入栈邮件数据中提取入栈邮件信息,并对所述入栈邮件信息进行钓鱼邮件检测,生成第二检测结果;
31、邮件转发模块,用于将所述出栈邮件数据和所述第一检测结果转发至邮件服务器,以及将所述入栈邮件数据和所述第二检测结果转发至所述邮件客户端。
32、根据本公开的第三方面,提供了一种电子设备。该电子设备包括:存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
33、根据本公开的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如根据本公开的第一方面所述的方法。
34、本公开的实施例提供了基于主机流量的钓鱼邮件检测方法、装置,通过部署在邮件客户端,拦截邮件客户端的入栈邮件数据和出栈邮件数据,进行钓鱼邮件检测分析,并将分析结果和邮件数据一起转发给邮件客户端和/或邮件服务器,以便于邮件客户端和/或邮件服务器能够采取相应的处理措施,避免钓鱼邮件的恶意攻击。
35、应当理解,
技术实现要素:
部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
1.一种基于主机流量的钓鱼邮件检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述拦截邮件客户端的出栈邮件数据,包括:
3.根据权利要求2所述的方法,其特征在于,所述拦截邮件客户端的入栈邮件数据,包括:
4.根据权利要求3所述的方法,其特征在于,在将所述出栈邮件数据和所述第一检测结果转发至邮件服务器之前,包括:
5.根据权利要求3所述的方法,其特征在于,在将所述入栈邮件数据和所述第二检测结果转发至所述邮件客户端之前,包括:
6.根据权利要求3所述的方法,其特征在于,所述方法还包括:
7.根据权利要求1所述的方法,其特征在于,
8.一种基于主机流量的钓鱼邮件检测装置,其特征在于,包括:
9.一种电子设备,其特征在于,包括:
10.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使所述计算机执行根据权利要求1-7中任一权利要求所述的方法。