钓鱼邮件检测方法、装置、电子设备及存储介质与流程

技术特征：
1.一种钓鱼邮件检测方法，其特征在于，包括：获取预先训练得到的钓鱼邮件检测模型、与企业邮箱业务相关的企业内部信息、以及邮件网关日志；基于所述企业内部信息以及所述邮件网关日志，确定待检测邮件的邮件特征；将所述待检测邮件的邮件特征输入至所述钓鱼邮件检测模型，得到所述钓鱼邮件检测模型输出的所述待检测邮件的邮件类型；所述邮件类型包括钓鱼邮件和非钓鱼邮件；所述钓鱼邮件检测模型为基于已标记的历史邮件对应的邮件特征以及所述已标记的历史邮件的标记值，进行二分类模型训练得到。2.根据权利要求1所述的钓鱼邮件检测方法，其特征在于，所述邮件特征包括以下至少一项：用于区分邮件是否为伪装内部邮件的特征，包括以下至少一项：邮件是否包含附件、邮件附件类型对应异常等级、邮件附件名称是否包含中文、邮件附件名称与内网邮件附件名相似度、邮件主题与内网邮件主题相似度、发件人邮箱域名与内网邮箱域名相似度、发件人邮箱名称与内网邮箱域名相似度、发件人昵称与内网邮箱昵称相似度及发件人昵称与企业内部组织相似度；用于区分邮件中收发人关系是否为正常收发人关系的特征，包括以下至少一项：外网邮箱历史发送邮件数量、邮件收件人数量、邮件收件人对应部门数量、收件人所属部门历史收到此发件人邮件数量、收件人历史收到此发件人邮件数量及收件人历史收到发件人是外部邮箱的数量。3.根据权利要求2所述的钓鱼邮件检测方法，其特征在于，所述基于所述企业内部信息以及所述邮件网关日志，确定待检测邮件的邮件特征，包括以下至少一项：在所述邮件网关日志中所述待检测邮件对应的附件字段的值为非空的情况下，确定所述待检测邮件包含附件；在所述待检测邮件对应的附件字段的值为空的情况下，确定所述待检测邮件未包含附件；基于所述待检测邮件的邮件附件的文件后缀，以及预置的文件后缀与异常等级的对应关系，确定所述待检测邮件的邮件附件类型对应的异常等级；在所述待检测邮件的邮件附件名称与预置的正则表达式匹配的情况下，确定所述邮件附件名称包含中文；所述正则表达式用于匹配邮件附件名称是否包含中文字符；在所述邮件附件名称与预置的正则表达式不匹配的情况下，确定所述邮件附件名称不包含中文；从所述历史日志中提取发件人邮箱为企业内部邮箱的至少一个历史邮件的邮件附件名称；对各所述历史邮件的邮件附件名称进行分词得到词组集合；计算各所述词组集合中每个词语的词频，得到词频集合；对所述待检测邮件的邮件附件名称进行分词得到文本词组；使用所述文本词组与所述词频集合进行词频匹配，得到所述文本词组中各个词语的词频；计算所述文本词组中各个词语的词频的平均值；对所述平均值进行归一化处理，得到所述邮件附件名称与内网邮件附件名相似度；从所述历史日志中提取发件人邮箱为企业内部邮箱的历史邮件的邮件主题；对各所述历史邮件的邮件主题进行分词，得到词组集合；计算各所述词组集合中每个词组中词语的词频，得到词频集合；对所述待检测邮件的邮件主题进行分词，得到文本词组；使用所述文本词组与所述词频集合进行词频匹配，得到所述文本词组中各个词语的词频；计算所述文
本词组中各个词语的词频的平均值；对所述平均值进行归一化处理，得到所述邮件主题与内网邮件主题相似度；从所述待检测邮件的发件人邮箱中提取发件人邮箱域名；确定所述发件人邮箱域名与内网邮箱域名相似度；从所述待检测邮件的发件人邮箱中提取发件人邮箱名称；确定所述发件人邮箱名称与内网邮箱域名相似度；从所述历史日志中提取发件人邮箱为企业内部邮箱的历史邮件的发件人昵称；对各所述历史邮件的发件人昵称进行分词，得到词组集合；计算各所述词组集合中每个词组中词语的词频，得到词频集合；对所述待检测邮件的发件人昵称进行分词，得到文本词组；使用所述文本词组与所述词频集合进行词频匹配，得到所述文本词组中各个词语的词频；计算所述文本词组中各个词语的词频的平均值；对所述平均值进行归一化处理，得到所述发件人昵称与内网邮箱昵称相似度；基于企业内部组织信息集合对各内部组织进行分词，得到词组集合；计算各所述词组集合中每个词组中词语的词频，得到词频集合；对所述待检测邮件的发件人昵称进行分词，得到文本词组；使用所述文本词组与所述词频集合进行词频匹配，得到所述文本词组中各个词语的词频；计算所述文本词组中各个词语的词频的平均值；对所述平均值进行归一化处理，得到所述发件人昵称与企业内部组织相似度；从所述历史日志中提取发件人邮箱不是企业内部邮箱的历史邮件数量，得到所述外网邮箱历史发送邮件数量；基于所述待检测邮件的收件人邮箱的个数，确定所述邮件收件人数量；从所述待检测邮件的收件人邮箱中提取收件人邮箱名称，基于所述收件人邮箱名称以及企业员工与部门映射信息集合，确定所述收件人邮箱对应部门；对所述收件人邮箱对应部门进行去重统计，得到所述邮件收件人对应部门数量；从所述待检测邮件的收件人邮箱中提取收件人邮箱名称，基于所述收件人邮箱名称以及企业员工与部门映射信息集合，确定所述收件人邮箱对应部门；从所述历史日志中统计所述收件人邮箱对应部门在目标历史时间内，收到的来自所述待检测邮件的发件人邮箱的邮件数量；从所述历史日志中统计所述待检测邮件的收件人邮箱收到的来自所述待检测邮件的发件人邮箱的邮件数量；从所述历史日志中统计所述待检测邮件的收件人邮箱收到的发件人邮箱为外部邮箱的邮件数量。4.根据权利要求1所述的钓鱼邮件检测方法，其特征在于，所述基于所述企业内部信息以及所述邮件网关日志，确定待检测邮件的邮件特征，包括：在待检测邮件包括发件人邮箱名称的情况下，基于所述待检测邮件的发件人邮箱名称确定所述待检测邮件的邮箱域名信息；在所述企业内部信息包括企业内部邮箱域名集合，且所述待检测邮件的邮箱域名信息与所述企业内部邮箱域名集合不匹配的情况下，基于所述企业内部信息、所述邮件网关日志以及所述待检测邮件的邮件属性信息，确定所述待检测邮件的邮件特征。5.根据权利要求1所述的钓鱼邮件检测方法，其特征在于，在所述获取预先训练得到的
钓鱼邮件检测模型、与企业邮箱业务相关的企业内部信息、以及邮件网关日志之前，所述方法还包括：获取已标记的历史邮件以及所述企业内部信息；基于所述已标记的历史邮件以及所述企业内部信息，确定所述已标记的历史邮件对应的邮件特征；基于所述已标记的历史邮件对应的邮件特征，以及所述已标记的历史邮件的标记值，进行二分类模型训练，得到所述钓鱼邮件检测模型；其中，所述已标记的历史邮件的标记值用于表示所述已标记的历史邮件是否为钓鱼邮件。6.根据权利要求1至5任一项所述的钓鱼邮件检测方法，其特征在于，所述企业内部信息包括以下至少一项：企业内部组织信息集合；企业员工与部门映射信息集合；企业内部邮箱集合；企业内部邮箱域名集合。7.根据权利要求1至5任一项所述的钓鱼邮件检测方法，其特征在于，所述邮件网关日志中包括n个邮件的邮件属性信息，所述邮件属性信息包括以下至少一项：发件人昵称；发件人邮箱；收件人邮箱；邮件主题；邮件附件名称；邮件附件类型。8.一种钓鱼邮件检测装置，其特征在于，包括：获取模块，用于获取预先训练得到的钓鱼邮件检测模型、与企业邮箱业务相关的企业内部信息、以及邮件网关日志；确定模块，用于基于所述企业内部信息以及所述邮件网关日志，确定待检测邮件的邮件特征；检测模块，用于将所述待检测邮件的邮件特征输入至所述钓鱼邮件检测模型，得到所述钓鱼邮件检测模型输出的所述待检测邮件的邮件类型；所述邮件类型包括钓鱼邮件和非钓鱼邮件；所述钓鱼邮件检测模型为基于已标记的历史邮件对应的邮件特征以及所述已标记的历史邮件的标记值，进行二分类模型训练得到。9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至7任一项所述钓鱼邮件检测方法。10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1至7任一项所述钓鱼邮件检测方法。11.一种计算机程序产品，其上存储有可执行指令，其特征在于，该指令被处理器执行时使处理器实现如权利要求1至7中任一项所述钓鱼邮件检测方法。

技术总结
本发明实施例提供一种钓鱼邮件检测方法、装置、电子设备及存储介质，涉及网络安全技术领域，其中方法包括：获取预先训练得到的钓鱼邮件检测模型、与企业邮箱业务相关的企业内部信息、以及邮件网关日志；基于企业内部信息以及邮件网关日志，确定待检测邮件的邮件特征；将待检测邮件的邮件特征输入至钓鱼邮件检测模型，得到钓鱼邮件检测模型输出的待检测邮件的邮件类型；所述钓鱼邮件检测模型为基于已标记的历史邮件对应的邮件特征以及所述已标记的历史邮件的标记值，进行二分类模型训练得到。本发明能够降低钓鱼邮件漏报和误报概率，提高钓鱼邮件检测的可靠性。提高钓鱼邮件检测的可靠性。提高钓鱼邮件检测的可靠性。


技术研发人员：陈祚松 谭学士 李云龙
受保护的技术使用者：奇安信网神信息技术（北京）股份有限公司
技术研发日：2022.08.08
技术公布日：2022/12/12