邮件的检测方法及装置、非易失性存储介质与流程

1.本技术涉及邮件检测领域，具体而言，涉及一种邮件的检测方法及装置、非易失性存储介质。


背景技术：

2.钓鱼邮件指利用伪装的电子邮件，欺骗收件人将账号、口令等信息回复给指定的接收者；或引导收件人连接到特制的网页，这些网页通常会伪装成和真实网站一样，如银行或理财的网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等而被盗取。常见手段主要是通过虚假内容，利用伪造的链接使用户访问虚假网站，或者利用携带病毒、木马的附件攻击、破坏用户终端，使用户造成数据或财产损失。
3.目前，钓鱼邮件检测方案主要包括以下两种方案：
4.方案一：通过对邮件的正文进行内容解析，分析其中的统一资源定位符(uniform resource locator，url)链接，并与“钓鱼链接数据库”进行匹配验证，为符合判定条件的邮件添加标记。邮件系统根据“标记”和自身策略，对邮件执行后续操作。
5.方案二：对附件进行反病毒扫描，首先排除包含病毒和木马的危险附件，然后对其中的文档文件进行扫描，分析其中的url链接，并与“钓鱼链接数据库”进行匹配验证，为符合判定条件的邮件添加标记。邮件系统根据“标记”和自身策略，对邮件执行后续操作。
6.现有的钓鱼邮件检测方案缺少对邮件内容的深度分析，对于附件内容或文档附件中携带的图片信息或二维码图片缺少识别。
7.针对上述的问题，目前尚未提出有效的解决方案。


技术实现要素：

8.本技术实施例提供了一种邮件的检测方法及装置、非易失性存储介质，以至少解决由于现有的钓鱼邮件检测方案缺少对邮件内容的深度识别，对邮件中的图片信息缺少识别，导致无法准确地识别出钓鱼邮件的技术问题。
9.根据本技术实施例的一个方面，提供了一种邮件的检测方法，包括：接收目标邮件；对目标邮件进行拆解处理，得到目标邮件包括的图片；对图片进行识别，得到识别结果；根据识别结果确定目标邮件是否为安全邮件。
10.可选地，对目标邮件进行拆解处理，包括：在邮件传输代理服务中对目标邮件进行拆解处理，其中，目标邮件包括以下之一：通过邮件传输代理服务接收到的来自邮件网关外部的邮件以及通过邮件传输代理服务向邮件网关外部发送的邮件。
11.可选地，对目标邮件进行拆解处理，包括：检测目标邮件是否包括附件；如果目标邮件是否包括附件，从附件中获取第一图片；从目标邮件的正文内容中获取第二图片；从目标邮件的文档中获取第三图片。
12.可选地，对图片进行识别，包括：通过光学字符识别方法分别识别第一图片、第二图片和第三图片中的文本内容；提取文本内容的关键词；根据关键词确定文本内容是否为
安全的文本内容。
13.可选地，对所述图片进行识别，还包括：分别识别第一图片、第二图片和第三图片中是否包含二维码；如果第一图片、第二图片或第三图片中包含二维码，提取二维码的信息；根据二维码的信息，确定二维码是否为安全的二维码。
14.可选地，提取二维码的信息，包括：提取二维码包括的链接；根据二维码的信息，确定二维码是否为安全的二维码，包括：将从二维码中提取的链接与数据库中存储的链接进行匹配；如果数据库中存储有与从二维码中提取的链接相同的链接，确定二维码为不安全的二维码。
15.可选地，上述方法还包括：在无法确定二维码为安全的二维码的情况下，在目标邮件的正文中添加提示信息，其中，提示信息用于提示目标邮件中包括无法确定安全性的二维码。
16.可选地，依据识别结果确定目标邮件是否为安全邮件，包括如下至少之一：如果目标邮件包括的图片中存在不安全的文本内容，确定目标邮件为不安全邮件；如果目标邮件包括的图片中存在不安全的二维码，确定目标邮件为不安全邮件。
17.根据本技术实施例的另一方面，还提供了一种邮件的检测装置，包括：接收模块，设置为接收目标邮件；处理模块，设置为对目标邮件进行拆解处理，得到目标邮件包括的图片；识别模块，设置为对图片进行识别，得到识别结果；确定模块，设置为根据识别结果确定目标邮件是否为安全邮件。
18.根据本技术实施例的再一方面，还提供了一种非易失性存储介质，非易失性存储介质包括存储的程序，其中，在程序运行时控制非易失性存储介质所在设备执行以上的邮件的检测方法。
19.根据本技术实施例的再一方面，还提供了一种理器，处理器用于运行存储在存储器中的程序，其中，程序运行时执行以上的邮件的检测方法。
20.在本技术实施例中，采用接收目标邮件；对目标邮件进行拆解处理，得到目标邮件包括的图片；对图片进行识别，得到识别结果；根据识别结果确定目标邮件是否为安全邮件的方式，在对钓鱼邮件检测的过程中，通过增加对邮件中包括的图片内容的识别，从而实现了提高钓鱼邮件的判别能力的技术效果，进而解决了由于现有的钓鱼邮件检测方案缺少对邮件内容的深度识别，对邮件中的图片信息缺少识别，导致无法准确地识别出钓鱼邮件技术问题。
附图说明
21.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
22.图1a是现有的一种邮件过滤方法的示意图；
23.图1b是现有的一种邮件过滤方法的流程图；
24.图2是根据本技术实施例的一种邮件的检测方法的流程图；
25.图3是根据本技术实施例的一种邮件的检测方法的流程图；
26.图4是根据本技术实施例的一种邮件的检测装置的结构框图。
具体实施方式
27.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范围。
28.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
29.图1a是现有的一种邮件过滤方法的示意图，图1b是现有的一种邮件过滤方法的流程图，如图1a和图1b所示，现有的邮件检测方法主要是通过邮件网关实现邮件的过滤，针对外来邮件的处理效果相对较好，但对于来自内部的钓鱼邮件则无法处理。并且，现阶段判定邮件存在钓鱼行为的主要手段为识别邮件中的关键内容(url)，在钓鱼数据库中进行匹配，无法对新产生的恶意链接进行判别。对无法判别是否绝对安全的邮件，缺少必要的提醒措施。
30.针对背景技术中的技术问题，以及上述现有技术方案的不足，本技术提出了一种邮件的检测方法，增加对邮件中图片的检测以及图片中二维码的检测，提升了钓鱼邮件的判别能力，下面对本技术提出的方法进行详细说明。
31.根据本技术实施例，提供了一种邮件的检测方法的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
32.图2是根据本技术实施例的一种邮件的检测方法的流程图，如图2所示，该方法包括如下步骤：
33.步骤s202，接收目标邮件。
34.步骤s204，对目标邮件进行拆解处理，得到目标邮件包括的图片。
35.在本步骤中，通过java mail工具包，对邮件进行拆解，从而分离出邮件的正文、贴图、图片附件和文档附件。
36.java mail，是一种提供给开发者处理电子邮件相关的编程接口，可以执行一些常用的邮件传输。
37.步骤s206，对图片进行识别，得到识别结果。
38.作为一个可选的实施例，在执行步骤s106时，包括对邮件正文中的图片进行识别，以及对邮件附件中的图片进行识别。
39.步骤s208，根据识别结果确定目标邮件是否为安全邮件。
40.可以理解的是，步骤s208中提到的安全邮件是指不包括恶意链接的邮件，不安全
的邮件即钓鱼邮件。
41.通过上述步骤，通过增加对邮件中包括的图片内容的识别，从而实现了提高钓鱼邮件的判别能力的技术效果。
42.根据本技术的一个可选的实施例，执行步骤s204对目标邮件进行拆解处理，通过以下方式实现：在邮件传输代理服务中对目标邮件进行拆解处理，其中，目标邮件包括以下之一：通过邮件传输代理服务接收到的来自邮件网关外部的邮件以及通过邮件传输代理服务向邮件网关外部发送的邮件。
43.因特网邮件传输代理(mail transfer agent，mta)，用来实现电子邮件投递和接收的服务。参见图1a，现有的邮件检测方法主要是通过邮件网关实现邮件的过滤，针对外来邮件的处理效果相对较好，但对于来自内部的钓鱼邮件则无法处理。
44.在本技术的实施例中，在mta中增加邮件解构模块，在数据流转过程中对邮件进行拆解分析。不仅可以实现对外来钓鱼邮件的过滤，还可以对来自内部的钓鱼邮件进行过滤。
45.根据本技术的另一个可选的实施例，对目标邮件进行拆解处理，还包括以下步骤：检测目标邮件是否包括附件；如果目标邮件是否包括附件，从附件中获取第一图片；从目标邮件的正文内容中获取第二图片；从目标邮件的文档中获取第三图片。
46.在对邮件进行拆解分析的过程中，首先获取邮件正文中的图片，然后检测邮件中是否包括附件，如果邮件包括附件，进一步获取附件中包括的图片。
47.在本技术的一些可选的实施例中，执行步骤s206对图片进行识别，通过以下方法实现：通过光学字符识别方法分别识别第一图片、第二图片和第三图片中的文本内容；提取文本内容的关键词；根据关键词确定文本内容是否为安全的文本内容。
48.在本步骤中，将对邮件携带的图片附件、附件中的图片文件以及邮件文档(包括但不限于doc、docx、wps以及pdf等文档)中图片文件进行ocr内容识别，光学字符技术(ocr，optical character recognition)，是一种将图片、照片上的文字内容，直接转换为可编辑文本的技术。
49.在识别出图片中的文本内容后，可以提取文本内容的关键词，然后与数据库中的关键词进行匹配，如果数据库中存在从图片的文本内容中提取的关键词，可以确定从图片中识别得到的文本内容为不安全的文本内容。
50.在本技术的另一些可选的实施例中，执行步骤s206对所述图片进行识别，还可以通过以下方法实现：分别识别第一图片、第二图片和第三图片中是否包含二维码；如果第一图片、第二图片或第三图片中包含二维码，提取二维码的信息；根据二维码的信息，确定二维码是否为安全的二维码。
51.在本步骤中，通过zxing工具包组件，对邮件携带的图片附件、附件中的图片文件以及邮件携带的文档中的图片附件进行识别，识别图片中是否包括二维码。如果图片中包括二维码，提取二维码的信息，判断图片中的二维码是否为安全的二维码。zxing工具包是一个开源软件，可以生成和解析二维码。
52.作为本技术的一个可选的实施例，提取二维码的信息，主要是提取二维码包括的链接；根据二维码的信息，确定二维码是否为安全的二维码，包括以下步骤：将从二维码中提取的链接与数据库中存储的链接进行匹配；如果数据库中存储有与从二维码中提取的链接相同的链接，确定二维码为不安全的二维码。
53.目前，钓鱼邮件经常在二维码中存储恶意链接，因此，在对钓鱼邮件进行过滤的过程中，一般是检测邮件是否包括二维码，如果包括二维码，提取二维码中的链接，然后与数据库中存储的一些恶意链接进行匹配，如果数据库中存储的链接包括从邮件的二维码中提取的链接，可以确定该邮件终端额二维码为不安全的二维码。
54.在一个可选的实施例中，与提取二维码中的链接进行匹配的数据库可以有多个，包括用于存储恶意链接的数据库，以及用于存储正常链接的数据库，如果用于存储恶意链接的数据库不包括提取的二维码中的链接，而用于存储正常链接的数据库包括提取的二维码中的链接，说明该二维码为安全的二维码。
55.在本技术的一个可选的实施例中，在无法确定二维码为安全的二维码的情况下，在目标邮件的正文中添加提示信息，其中，提示信息用于提示目标邮件中包括无法确定安全性的二维码。
56.在上文中提到，与提取二维码中的链接进行匹配的数据库可以有多个，包括用于存储恶意链接的数据库，以及用于存储正常链接的数据库，如果用于存储恶意链接的数据库不包括提取的二维码中的链接，并且用于存储正常链接的数据库也不包括提取的二维码中的链接，则无法确定该＝从二维码中提取的链接是否为恶意链接，也就无法确定该二维码是否为安全的二维码。
57.对无法确定是否安全的二维码文件，可通过内容注入的方式，将警提示信息添加到邮件正文的开头部分，以提示用户该邮件中包括无法确定安全性的二维码。
58.作为一个可选的实施例，通过javamail工具包，可以重构正文，在不改变原有邮件解构的前提下，安全有效的注入预制好的提示信息。
59.在本技术的一些可选的实施例中，执行步骤s208依据识别结果确定目标邮件是否为安全邮件，包括以下步骤：如果目标邮件包括的图片中存在不安全的文本内容，确定目标邮件为不安全邮件；如果目标邮件包括的图片中存在不安全的二维码，确定目标邮件为不安全邮件。
60.下面结合图3对本技术实施例提供的上述邮件检测方法的整体流程进行说明，如图3所示，包括以下步骤：
61.邮件到达mta服务后，通过mta服务中的邮件解构分析模块对邮件进行拆分处理；
62.对邮件进行基本检测，包括邮件正文检测、文档附件内容检测以及图片ocr内容检测；
63.对邮件进行二维码检测，包括图片中的二维码内容检测以及附件中二维码内容检测；
64.mta服务通过检测，确定邮件存在危险，执行退信或拒收的操作；如果通过检测无法确定邮件是否存在危险，在邮件正文注入警示信息；如果通过检测无法确定邮件是不存在危险，继续投递邮件。
65.本技术提供的上述邮件检测方法可以实现以下技术效果：
66.可以丰富现有邮件过滤技术的过滤范围，对文档附件中携带的图片、二维码也做了识别和扫描，增加了钓鱼行为的识别能力。
67.直接作用于mta内部，无论恶意邮件来自何处，都可对其进行过滤，可以有效阻断邮件系统向外发送垃圾邮件的可能。
68.对无法确认是否安全的邮件进行警示内容的正文注入，对webmail用户和客户端用户具有同等的警示效果。
69.图4是根据本技术实施例的一种邮件的检测装置的结构框图，如图4所示，该装置包括：
70.接收模块40，设置为接收目标邮件。
71.处理模块42，设置为对目标邮件进行拆解处理，得到目标邮件包括的图片。
72.作为一个可选的实施例，通过java mail工具包，对邮件进行拆解，从而分离出邮件的正文、贴图、图片附件和文档附件。
73.java mail，是一种提供给开发者处理电子邮件相关的编程接口，可以执行一些常用的邮件传输。
74.识别模块44，设置为对图片进行识别，得到识别结果。
75.根据本技术的一个可选的实施例，识别模块44对邮件正文中的图片进行识别，以及对邮件附件中的图片进行识别。
76.确定模块46，设置为根据识别结果确定目标邮件是否为安全邮件。
77.可以理解的是，上述安全邮件是指不包括恶意链接的邮件，不安全的邮件即钓鱼邮件。
78.通过增加对邮件中包括的图片内容的识别，从而实现了提高钓鱼邮件的判别能力的技术效果。
79.需要说明的是，图4所示实施例的优选实施方式可以参见图2所示实施例的相关描述，此处不再赘述。
80.根据本技术的一个可选的实施例，处理模块42，还设置为在邮件传输代理服务中对目标邮件进行拆解处理，其中，目标邮件包括以下之一：通过邮件传输代理服务接收到的来自邮件网关外部的邮件以及通过邮件传输代理服务向邮件网关外部发送的邮件。
81.作为一个可选的实施例，处理模块42包括：检测单元，设置为检测目标邮件是否包括附件；第一获取单元，设置为在目标邮件是否包括附件的情况下，从附件中获取第一图片；第二获取单元，设置为从目标邮件的正文内容中获取第二图片；第三获取单元，设置为从目标邮件的文档中获取第三图片。
82.根据本技术的一个可选的实施例，识别模块44，包括：第一识别单元，设置为通过光学字符识别方法分别识别第一图片、第二图片和第三图片中的文本内容；第一提取单元，设置为提取文本内容的关键词；第一确定单元，设置为根据关键词确定文本内容是否为安全的文本内容。
83.作为一个可选的实施例，识别模块44，还包括：第二识别单元，设置为分别识别第一图片、第二图片和第三图片中是否包含二维码；第二提取单元，设置为在第一图片、第二图片或第三图片中包含二维码的情况下，提取二维码的信息；第二确定单元，设置为根据二维码的信息，确定二维码是否为安全的二维码。
84.在本技术的一些可选的实施例中，第二提取单元，还设置为提取二维码包括的链接；第二确定单元，还设置为将从二维码中提取的链接与数据库中存储的链接进行匹配；如果数据库中存储有与从二维码中提取的链接相同的链接，确定二维码为不安全的二维码。
85.在本技术的另一些可选的实施例中，上述装置还包括：添加模块，设置为在无法确
定二维码为安全的二维码的情况下，在目标邮件的正文中添加提示信息，其中，提示信息用于提示目标邮件中包括无法确定安全性的二维码。
86.本技术实施例还提供了一种非易失性存储介质，非易失性存储介质包括存储的程序，其中，在程序运行时控制非易失性存储介质所在设备执行以上的邮件的检测方法。
87.上述非易失性存储介质用于存储执行以下功能的程序：接收目标邮件；对目标邮件进行拆解处理，得到目标邮件包括的图片；对图片进行识别，得到识别结果；根据识别结果确定目标邮件是否为安全邮件。
88.本技术实施例还提供了一种理器，处理器用于运行存储在存储器中的程序，其中，程序运行时执行以上的邮件的检测方法。
89.上述处理器用于运行执行以下功能的程序：接收目标邮件；对目标邮件进行拆解处理，得到目标邮件包括的图片；对图片进行识别，得到识别结果；根据识别结果确定目标邮件是否为安全邮件。
90.上述本技术实施例序号仅仅为了描述，不代表实施例的优劣。
91.在本技术的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
92.在本技术所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。
93.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
94.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
95.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对相关技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
96.以上所述仅是本技术的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本技术的保护范围。