确定风险邮件的方法、装置、处理设备及存储介质与流程

本公开涉及且不限于邮件，尤其涉及一种确定风险邮件的方法、装置、处理设备及存储介质。

背景技术：

1、邮件安全是提升信息安全的重要方面。其中，钓鱼垃圾邮件的识别至关重要。相关技术中，用于对钓鱼垃圾邮件进行威胁判断的邮件威胁检测系统单一，且受制于邮件威胁判断的策略，导致无法高效且准确地确定出钓鱼垃圾邮件，从而会带来各种安全风险。

技术实现思路

1、有鉴于此，本公开实施例公开了一种确定风险邮件的方法、装置、处理设备及存储介质，以至少实现高效且准确地识别风险邮件。

2、根据本公开实施例的第一方面，提供一种确定风险邮件的方法，所述方法包括：

3、获取待检测邮件的特征信息，所述特征信息表征所述待检测邮件相关的属性信息和/或告警信息；

4、比较所述特征信息与参考信息，获得比较结果，所述参考信息包括风险邮件具备的风险特征；

5、将所述特征信息输入预先训练的识别模型进行风险邮件的特征识别，获得识别结果；所述识别结果用于指示所述待检测邮件为风险邮件的风险程度；

6、基于所述比较结果和所述识别结果，确定所述待检测邮件是否为风险邮件。

7、在一些实施例中，所述方法还包括：

8、更新所述参考信息。

9、在一些实施例中，所述特征信息包括至少两个特征；所述比较结果包括所述至少两个特征分别与所述参考信息包括的风险特征进行比较后，获得的至少两个比较子结果；所述识别结果包括所述识别模型分别对所述至少两个特征进行风险邮件的特征识别后，获得的至少两个识别子结果。

10、在一些实施例中，所述方法还包括：

11、获取对所述至少两个所述比较子结果进行加权求和处理得到的第一加权结果；

12、获取对所述至少两个识别子结果进行加权求和处理得到的第二加权结果；

13、所述基于所述比较结果和所述识别结果，确定所述待检测邮件是否为风险邮件，包括：

14、基于所述第一加权结果和所述第二加权结果确定所述待检测邮件对应的加权值；

15、基于所述加权值确定所述待检测邮件是否为风险邮件。

16、在一些实施例中，所述方法还包括：

17、基于所述加权值确定所述待检测邮件的风险等级；

18、其中，所述风险等级包括以下至少之一：低风险等级、中风险等级和高风险等级；

19、基于所述风险等级生成相应的告警信息，并输出所述告警信息。

20、在一些实施例中，所述获取待检测邮件的特征信息，包括：

21、基于预定信息获取所述待检测邮件的特征信息；

22、其中，所述预定信息包括以下至少之一：

23、防火墙邮件告警信息，所述防火墙邮件告警信息基于防火墙的邮件检测策略对经由所述防火墙的邮件进行检测得到；

24、网络流量镜像邮件分析系统信息，所述网络流量镜像邮件分析系统信息包括对网络流量进行镜像后分析得到的邮件属性信息。

25、在一些实施例中，所述方法还包括：

26、利用防火墙邮件告警信息包含的样本邮件的特征信息训练初始化的第一识别模型直至满足预定条件，得到训练后的所述识别模型。

27、在一些实施例中，所述特征信息包括以下特征中至少之一：发件人、收件人、邮件标题、邮件正文、恶意外部链接、威胁名称和时间戳。

28、根据本公开实施例的第二方面，提供一种确定风险邮件的装置，所述装置包括：

29、获取模块，被配置为：获取待检测邮件的特征信息，所述特征信息表征所述待检测邮件相关的属性信息和/或告警信息；

30、比较模块，被配置为：比较所述特征信息与参考信息，获得比较结果，所述参考信息包括风险邮件具备的风险特征；

31、获取模块，还被配置为：将所述特征信息输入预先训练的识别模型进行风险邮件的特征识别，获得识别结果；所述识别结果用于指示所述待检测邮件为风险邮件的风险程度；

32、确定模块，被配置为：基于所述比较结果和所述识别结果，确定所述待检测邮件是否为风险邮件。

33、根据本公开实施例的第三方面，提供一种处理设备，所述处理设备包括：

34、存储器，用于存储可执行程序；

35、处理器，用于执行所述存储器中存储的可执行程序时，实现如本公开实施例中任一所述的方法。

36、根据本公开实施例的第四方面，提供一种计算机存储介质，所述计算机存储介质存储有可执行程序，所述可执行程序被处理器执行时，实现如本公开实施例中任一所述的方法。

37、本公开实施例中，获取待检测邮件的特征信息，所述特征信息表征所述待检测邮件相关的属性信息和/或告警信息。如此，在获取到所述待检测邮件的特征信息后，可以将所述特征信息用于确定所述待检测邮件是否为风险邮件。比较所述特征信息与参考信息，获得比较结果，所述参考信息包括风险邮件具备的风险特征。如此，可以基于所述参考信息通过比较获得所述特征信息是否为风险邮件具备的风险特征的比较结果。将所述特征信息输入预先训练的识别模型进行风险邮件的特征识别，获得识别结果；所述识别结果用于指示所述待检测邮件为风险邮件的风险程度。如此，可以通过利用识别模型识别所述待检测邮件为风险邮件的风险程度。基于所述比较结果和所述识别结果，确定所述待检测邮件是否为风险邮件。如此，可以融合所述比较结果和所述识别结果，共同确定所述待检测邮件是否为风险邮件。一方面，相较于利用单方面的确定结果判断所述待检测邮件是否为风险邮件的方式，综合所述比较结果和所述识别结果获得的判断结果会更加准确。另一方面，由于比较结果是基于参考信息确定的，参考信息的更新可以非常快捷，可以随时更新所述参考信息，无需进行训练，简单方面，效率更高，能够高效快捷地确定出所述待检测邮件是否为风险邮件。

技术特征：

1.一种确定风险邮件的方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

3.根据权利要求1所述的方法，其特征在于，所述特征信息包括至少两个特征；所述比较结果包括所述至少两个特征分别与所述参考信息包括的风险特征进行比较后，获得的至少两个比较子结果；所述识别结果包括所述识别模型分别对所述至少两个特征进行风险邮件的特征识别后，获得的至少两个识别子结果。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

6.根据权利要求1所述的方法，其特征在于，所述获取待检测邮件的特征信息，包括：

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

8.根据权利要求1至7中任一项所述的方法，其特征在于，所述特征信息包括以下特征中至少之一：发件人、收件人、邮件标题、邮件正文、恶意外部链接、威胁名称和时间戳。

9.一种确定风险邮件的装置，其特征在于，所述装置包括：

10.一种处理设备，其特征在于，所述处理设备包括：

11.一种计算机存储介质，其特征在于，所述计算机存储介质存储有可执行程序，所述可执行程序被处理器执行时，实现如权利要求1至9任一所述的方法。

技术总结
本公开实施例公开了一种确定风险邮件的方法、装置、处理设备及存储介质。所述方法包括：获取待检测邮件的特征信息；比较所述特征信息与参考信息，获得比较结果，所述参考信息包括风险邮件具备的风险特征；将所述特征信息输入预先训练的识别模型进行风险邮件的特征识别，获得识别结果；基于所述比较结果和所述识别结果，确定所述待检测邮件是否为风险邮件。本公开实施例的确定结果更加准确且确定效率高。

技术研发人员：盛洋
受保护的技术使用者：新浪技术（中国）有限公司
技术研发日：
技术公布日：2024/4/17