发明名称 |
鱼叉式钓鱼邮件的检测方法及装置 |
摘要 |
本发明公开了一种鱼叉式钓鱼邮件的检测方法,包括步骤:获取网络中邮件数据流量,并根据获取到的邮件的编码类型还原邮件的内容,以获取当前邮件信息;根据获取到的所述当前邮件信息中的发件人信息,判断所述当前邮件的发件人是否为收件人的常用信任联系人;若判断为是,则基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件;若判断为否,则在所述当前邮件与知名权威网站的邮件的视觉相似度达到阈值时,提取当前邮件中的IP地址、域名和链接中的至少一个进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件。本发明公开了一种鱼叉式钓鱼邮件的检测装置。 |
申请公布号 |
CN105072137B |
申请公布日期 |
2016.08.17 |
申请号 |
CN201510582887.4 |
申请日期 |
2015.09.15 |
申请人 |
北京灵创众和科技有限公司 |
发明人 |
黄玮;范文庆 |
分类号 |
H04L29/06(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
|
代理人 |
|
主权项 |
一种鱼叉式钓鱼邮件的检测方法,其特征在于,包括步骤:获取网络中邮件数据流量,并根据获取到的邮件的编码类型还原邮件的内容,以获取当前邮件信息;根据获取到的所述当前邮件信息中的发件人信息,判断所述当前邮件的发件人是否为收件人的常用信任联系人;若判断为是,则基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件;若判断为否,通过维护各大知名权威网站的邮件通知内容模版,新闻、会议、订阅邮件的结构模式和视觉特征的数据库,对视觉相似度匹配知名权威网站的匹配度达到阈值以上的邮件进行IP地址、域名和链接提取分析,提取当前邮件中的IP地址、域名和链接中的至少一个进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件:若所述当前邮件中只有IP地址、域名或链接中的一个时,则对其包含的IP地址、域名或链接进行深入的关联分析,关联分析无误的才判定为非鱼叉式钓鱼邮件,否则判定为鱼叉式钓鱼邮件;若所述当前邮件中同时含有IP地址、域名和链接中的三个指标时,则为每项指标分配一定的权值来计算所述当前邮件为鱼叉式钓鱼邮件攻击的风险分数值,风险分数值越大,所述当前邮件为鱼叉式钓鱼邮件攻击的可能性越大;其中,所述IP地址、域名、链接分配的权值依次为30%、40%、30%。 |
地址 |
100000 北京市朝阳区新房路3号院8号楼8层907 |