基于链接域名和用户反馈的反钓鱼邮件系统及方法

摘要

本发明提供的是一种基于链接域名和用户反馈的反钓鱼邮件系统及方法。本发明所述的系统包括网络邮件接收装置、邮件预处理装置、邮件性质判定装置、输出装置、反馈处理装置。所述的方法为通过分析邮件中链接的域名的特征，并结合受控网用户反馈策略，实现钓鱼邮件以及疑似钓鱼邮件的识别。本发明的优点在于：识别效率高、低资源消耗、无误判率，可部署到要求高实时性的邮件服务器、网关服务器等，保护受控网用户免受钓鱼邮件的欺骗，可抵抗受控网内恶意用户的干扰，可广泛应用于网络邮件过滤管理、防网络钓鱼攻击等应用领域。

主权项

一种基于链接域名和用户反馈的反钓鱼邮件系统，其构成包括网络邮件接收装置、邮件预处理装置、邮件性质判定装置、输出装置和反馈处理装置；其特征是：网络邮件接收装置：通过实现SMTP协议交互过程，接收进出受控网络的电子邮件，并存储邮件全部信息；邮件预处理装置：根据邮件的编码类型、字符集、消息类型提取并解码邮件中的正文信息，形成不同类型的邮件正文结构体，在已解析的邮件正文中提取链接地址；邮件性质判定装置：当链接地址经过恶意的编码伪装，则将链接去除伪装，还原为真实的链接地址，提取该链接的域名信息，根据邮件属于纯文本类型还是超文本类型，进行链接域名的特征分析处理，以此判定该邮件性质；输出装置：根据邮件性质判定装置得到的邮件性质，按该邮件性质的不同进行邮件去向处理；反馈处理装置：收集用户的反馈信息，提供受控网内用户反馈信息的自动处理机制，及时更新个性化特征库，且保证各受控网内用户间互不干扰，所述个性化特征库用于存储经过处理后的受控网用户反馈信息；所述的邮件性质判定装置包括链接去伪装单元、个性化特征库过滤单元、快速钓鱼特征库匹配单元、链接特征分析单元和相似度比较单元；链接去伪装单元判断待分析的链接地址是否经过恶意的编码，若存在恶意的编码，则将其解码还原为真实的链接地址，然后调用个性化特征库过滤单元；个性化特征库过滤单元利用匹配域名的正则表达式，从链接去伪装单元所得的链接地址中提取出域名信息，结合该邮件的收件人邮箱地址，形成待检测信息，利用字符串匹配自动机，判断待检测信息是否存在于个性化特征库中，若在，邮件威胁等级为高，否则调用快速钓鱼特征库匹配单元；快速钓鱼特征库匹配单元根据个性化特征库过滤单元中获得的链接的域名信息，采用ELFhash字符串散列函数处理后，在钓鱼特征库的哈希表中匹配该信息，且用链地址法处理所构造的钓鱼特征库哈希表冲突问题，若匹配到，邮件威胁等级为高，否则调用链接特征分析单元；链接特征分析单元，当邮件为纯文本类型时，直接通过匹配IP的正则表达式从待分析信息中匹配点分十进制IP地址，如果匹配到IP地址，邮件威胁等级为中，否 则调用相似度比较单元；当邮件为超文本类型时，提取链接的显式域名与链接的隐式域名，若链接的显式域名与链接的隐式域名均存在且不一致，则邮件威胁等级为中，若链接的显式域名与链接的隐式域名一致或链接的显式域名不存在，则通过匹配IP的正则表达式在链接的隐式域名中匹配点分十进制IP地址，如果匹配到，则邮件威胁等级为中，如果未匹配到，则调用相似度比较单元；相似度比较单元将个性化特征库过滤单元中获得的链接的域名与金融站点特征库，采用自然语言处理NLP里的Levenshtein Distance算法，依次计算两者相似度，并判断相似度是否超过给定的阈值，若两者相似度超过阈值，则邮件威胁等级为中，否则邮件威胁等级为低。