一种钓鱼邮件的识别方法及系统、电子设备与流程

1.本发明涉及网络安全技术领域，尤其涉及一种钓鱼邮件的识别方法及系统、电子设备。


背景技术：

2.传统的邮件日志分析识别钓鱼邮件主要通过黑名单关键字的方法，例如邮件内容中包含密码等敏感关键字则上报为钓鱼邮件，此类场景如果关键字过于简单则非常容易产生误报，且由于完全依赖黑名单，导致也会产生很多漏报情况。现有技术中，缺少一种可以更加精准识别钓鱼邮件攻击行为的方法。


技术实现要素：

3.本发明要解决的技术问题是针对于邮箱日志分析，提出一种可以更加精准识别钓鱼邮件攻击行为的方法，具体是提供一种钓鱼邮件的识别方法及系统、电子设备。
4.本发明采用的技术方案是，所述钓鱼邮件的识别方法，包括：获取已泄露邮箱；根据所述已泄露邮箱以及待检测邮箱的邮箱日志，利用预先配置的量化规则，确定所述已泄露邮箱所收到的邮件信息所对应的威胁值；确定所述威胁值所对应的邮件信息是否为钓鱼邮件。
5.在一个实施方式中，所述获取已泄露邮箱，包括：通过爬取互联网数据，确定并获取所爬取范围内的邮箱中的已泄露邮箱；和\或利用预设的第一算法，对可获得的待检测邮箱进行检测，以确定并获取其中的所述已泄露邮箱。
6.在一个实施方式中，所述根据所述已泄露邮箱以及待检测邮箱的邮箱日志，利用预先配置的量化规则，确定所述已泄露邮箱所收到的邮件信息所对应的威胁值，包括：通过预先配置的白名单对待检测邮箱的所收到的邮件信息进行筛选，以在所述待检测邮箱中筛选出其中的未泄露邮箱；利用预先配置的所述量化规则，确定其余所述待检测邮箱所收到的邮件信息所对应的威胁值。
7.在一个实施方式中，所述利用预先配置的所述量化规则，确定其余所述待检测邮箱所收到的邮件信息所对应的威胁值，包括：通过预先配置的黑名单对所述待检测邮箱所收到的邮件信息进行筛选，确定所述邮件信息的第一子威胁值；通过对所述待检测邮箱所收到的邮件信息的附件进行查杀处理，确定所述邮件信息的第二子威胁值；获取对所述待检测邮箱以及所述已泄露邮箱的邮箱日志中的关联信息，基于预先配置的第二算法，利用所述关联信息确定所述邮件信息的第三子威胁值；将所述第一子威胁值，所述第二子威胁值，所述第三子威胁值相加得到所述威胁值。
8.在一个实施方式中，所述获取对所述待检测邮箱以及所述已泄露邮箱的邮箱日志中的关联信息，基于预先配置的第二算法，利用所述关联信息确定所述邮件信息的第三子威胁值，包括：确定所述邮件信息对应的发件人的所发邮件的接收人中，所述已泄露邮箱的数量；利用预设的第二算法，基于所述已泄露邮箱的数量，得到当前所述邮件信息的所述第
三子威胁值。
9.在一个实施方式中，所述确定所述威胁值所对应的邮件信息是否为钓鱼邮件包括：将所述威胁值与预先配置的告警阈值作比较，当所述威胁值高于所述告警阈值时，该威胁值所对应的邮件被确定为钓鱼邮件。
10.在一个实施方式中，所述确定所述威胁值所对应的邮件信息是否为钓鱼邮件的步骤之后，还包括：将被确定为所述钓鱼邮件所对应的所有收件邮箱确定为已泄露邮箱。
11.本发明的另一方面提供了一种钓鱼邮件信息识别系统，包括：收集模块，被配置为获取已泄露邮箱；识别模块，被配置为根据所述已泄露邮箱以及待检测邮箱的邮箱日志，利用预先配置的量化规则，确定所述已泄露邮箱所收到的邮件信息所对应的威胁值；告警模块，被配置为确定所述威胁值所对应的邮件信息是否为钓鱼邮件。
12.本发明的另一方面提供了一种电子设备，所述电子设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如上任一项所述钓鱼邮件识别方法的步骤。
13.本发明的另一方面提供了一种计算机存储介质，所述计算机存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上任一项所述钓鱼邮件识别方法的步骤。
14.采用上述技术方案，本发明至少具有下列优点：
15.本发明所述钓鱼邮件识别方法，通过多种渠道的已泄露邮箱采集监控来关联待检测邮箱行为日志进行分析，可以更加准确的识别出钓鱼邮件攻击行为。
附图说明
16.图1为根据本发明实施例的钓鱼邮件识别方法流程图；
17.图2为根据本发明实施例的钓鱼邮件识别方法的一个实时应用实例示意图；
18.图3为根据本发明实施例的钓鱼邮件识别系统组成结构示意图；
19.图4为根据本发明实施例电子设备的结构示意图。
具体实施方式
20.为更进一步阐述本发明为达成预定目的所采取的技术手段及功效，以下结合附图及较佳实施例，对本发明进行详细说明如后。
21.本发明中说明书中对方法流程的描述及本发明说明书附图中流程图的步骤并非必须按步骤标号严格执行，方法步骤是可以改变执行顺序的。而且，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
22.本发明第一实施例，一种钓鱼邮件的识别方法，如图1以及图2所示，包括以下具体步骤：
23.步骤s1，获取已泄露邮箱；
24.步骤s2，根据所述已泄露邮箱以及待检测邮箱的邮箱日志，利用预先配置的量化规则，确定所述已泄露邮箱所收到的邮件信息所对应的威胁值；
25.步骤s3，确定所述威胁值所对应的邮件信息是否为钓鱼邮件。
26.下面将对本实施例的每一步骤分步做出详细解释说明。
27.步骤s1，获取已泄露邮箱。
28.参考图2，本实施例中，已泄露邮箱是指邮箱id或其他用户信息已在网络上暴露，可能被黑客等不法分子进行诸如钓鱼等网络攻击的，存在较高安全风险的邮箱。可以通过多种来源以及途径获取已泄露邮箱，具体地，可以通过爬取互联网数据，例如百度、谷歌、搜狗、github、或是其他网站中的互联网数据，确定所爬取范围内的邮箱中的已泄露邮箱，也可以通过人工录入的方法，将已知的已泄露邮箱录入在系统中。
29.本实施例中，还可以对任一待检测邮箱的风险情况做出判断，以在待检测邮箱中确定出其中的已泄露邮箱，待检测邮箱即为至少一个存在被钓鱼攻击风险的可获得邮箱。具体地，可以利用预设的第一算法，对可获得的待检测邮箱进行检测，以确定并获取其中的已泄露邮箱。示例性地，可以获取待检测邮箱在预设时间范围内的与外域发件人的所有往来信息记录，分别统计往来信息记录所对应的多维度特征，预设的第一算法可以对多维度特征进行分析，以得到当前待检测邮箱的泄露参考值；利用预设的泄露阈值与所述泄露参考值进行比较，大于(根据实际情况需要，也可以包括等于)所述泄露阈值的所述泄露参考值所对应的待检测邮箱被确定为已泄露邮箱。
30.进一步地，上述多维度特征可例如包括往来信息记录中的发送本域目标邮箱账号数、垃圾邮件命中数、敏感内容命中数、域内邮箱回复数、域内邮箱回复用户数，根据这些特征，可以利用预先配置的第一算法做例如加权相加等处理，用于将往来信息记录所表征的泄露参考值用一个量化的结果表示，第一算法具体的配置情况以及其参数可以根据实际情况需要酌情确定。类似的，泄露阈值的设定也是根据实际情况的需求进行人为配置或修改的，本文对此将不做限定。
31.步骤s2，根据所述已泄露邮箱以及待检测邮箱的邮箱日志，利用预先配置的量化规则，确定所述已泄露邮箱所收到的邮件信息所对应的威胁值。
32.本实施例中，对于待检测邮箱，首先可以通过预先配置的白名单对待检测邮箱所收到的邮件信息进行筛选，以在所述待检测邮箱中筛选出其中的未泄露邮箱。示例性地，可以手动添加待检测邮箱到白名单中，也可以将已泄露邮箱添加至白名单，添加在白名单中的邮箱即为未泄露邮箱，在后续的处理中不会被上报为已泄露邮箱，其所收到的邮件信息也不会被认定为钓鱼邮件。
33.筛选出待检测邮箱中的未泄露邮箱后，可以利用预先配置的量化规则，确定其余待检测邮箱所收到的邮件信息所对应的威胁值。
34.本实施例中，量化规则可包括，根据不同的量化策略，针对待检测邮箱中所收到的邮件信息，对该邮件信息的威胁程度进行多次量化处理，可以对多次量化处理后的值进行加权相加，以得到一邮件信息所对应的威胁值。
35.示例性地，可以通过预先配置的黑名单对所述待检测邮箱所收到的邮件信息进行筛选，确定该邮件信息的第一子威胁值，具体地，可以对邮件正文、标题等字段配置检测规则，如果匹配上规则后可以增加对应的威胁分，即第一子威胁值，显然，黑名单规则与对应的第一子威胁值可以自定义配置，本文对此将不做限定。
36.示例性地，可以通过对所述待检测邮箱所收到的邮件信息的附件进行查杀处理，确定所述邮件信息的第二子威胁值，具体地，可以针对附件中有url或者文件等，进行病毒查杀处理，根据检测结果增加相应的威胁分，即第二子威胁值，显然，黑名单规则与对应的
第一子威胁值可以自定义配置，本文对此将不做限定。
37.本实施例中，可以获取对待检测邮箱以及已泄露邮箱的邮箱日志中的关联信息，基于预先配置的第二算法，利用关联信息确定邮件信息的第三子威胁值，具体地，第二算法是通过确定邮件信息对应的发件人的所发邮件的接收人中，已泄露邮箱的数量，该数量即为关联信息，基于已泄露邮箱的数量，得到当前邮件信息的第三子威胁值。
38.示例性地，如果上述关联信息，即发件人的所发邮件的接收人中已泄露邮箱的数量越多，其所表征的第三子威胁值越高。例如，钓鱼邮件攻击者a，对10个目标发送了邮件，如果10个目标均属于已泄露邮箱的列表中，则计算出的的第三子威胁值会相对较高，如果只有1个目标属于已泄露邮箱的列表中，则计算出的第三子威胁值会相对较低，如果攻击者a对5个目标发送了邮件，且五个目标都属于已泄露邮箱的列表中，则计算出的第三子威胁值在这三次计算中是一个中间的结果。另外，不同用户收到的邮件内容相似度、历史邮件往来关系以及用户自定义维护也可以被写入第二算法参与计算。具体可根据实际情况需要做出适当调整。
39.最终计算出每一变量所对应威胁值后进行累加，即，将上述第一子威胁值、第二子威胁值、第三子威胁值相加，得到对应邮件信息的威胁值。
40.在一个可能的实施方式中，也可以对第一子威胁值、第二子威胁值、第三子威胁值分别进行加权处理中再做相加处理，可以根据实际情况来确定，本文对此将不做限定。
41.进一步地，还可以根据实际情况需要，通过人为配置的方法，针对特殊场景例如部门公告等群发邮件或者外部监控系统的邮件等，可以通过api或自定义代码实现扩展检测，可以进行威胁值的降低与增加。
42.步骤s3，确定所述威胁值所对应的邮件信息是否为钓鱼邮件。
43.本实施例中，是将威胁值与预先配置的告警阈值作比较，当所述威胁值高于(根据实际情况需要，也可以是等于)告警阈值时，该威胁值所对应的邮件被确定为钓鱼邮件，显然告警阈值的具体设定也可以根据实际情况需要人为进行设定或调整。
44.本实施例中，可以将被确定为钓鱼邮件所对应的所有收件邮箱确定为已泄露邮箱。用于在上述获取已泄露邮箱的步骤中，直接获取本步骤确定的已泄露邮箱，以实现内部的迭代更新。
45.本发明第二实施例，与第一实施例对应，本实施例介绍一种钓鱼邮件的识别系统，如图3所示，包括以下组成部分：
46.收集模块，被配置为获取已泄露邮箱；
47.识别模块，被配置为根据所述已泄露邮箱以及待检测邮箱的邮箱日志，利用预先配置的量化规则，确定所述已泄露邮箱所收到的邮件信息所对应的威胁值；
48.告警模块，被配置为确定所述威胁值所对应的邮件信息是否为钓鱼邮件。
49.在一些实施方式中，收集模块被进一步配置为通过爬取互联网数据，确定并获取所爬取范围内的邮箱中的已泄露邮箱；和\或利用预设的第一算法，对可获得的待检测邮箱进行检测，以确定并获取其中的所述已泄露邮箱。
50.在一些实施方式中，识别模块被进一步配置为通过预先配置的白名单对待检测邮箱的所收到的邮件信息进行筛选，以在所述待检测邮箱中筛选出其中的未泄露邮箱；利用预先配置的所述量化规则，确定其余所述待检测邮箱所收到的邮件信息所对应的威胁值。
51.在一些实施方式中，识别模块被进一步配置为通过预先配置的黑名单对所述待检测邮箱所收到的邮件信息进行筛选，确定所述邮件信息的第一子威胁值；通过对所述待检测邮箱所收到的邮件信息的附件进行查杀处理，确定所述邮件信息的第二子威胁值；获取对所述待检测邮箱以及所述已泄露邮箱的邮箱日志中的关联信息，基于预先配置的第二算法，利用所述关联信息确定所述邮件信息的第三子威胁值；将所述第一子威胁值，所述第二子威胁值，所述第三子威胁值相加得到所述威胁值。
52.在一些实施方式中，识别模块被进一步配置为确定所述邮件信息对应的发件人的所发邮件的接收人中，所述已泄露邮箱的数量；利用预设的第二算法，基于所述已泄露邮箱的数量，得到当前所述邮件信息的所述第三子威胁值。
53.在一些实施方式中，告警模块被进一步配置为将所述威胁值与预先配置的告警阈值作比较，当所述威胁值高于所述告警阈值时，该威胁值所对应的邮件被确定为钓鱼邮件。
54.在一些实施方式中，收集模块被进一步配置为将被确定为所述钓鱼邮件所对应的所有收件邮箱确定为已泄露邮箱。
55.本发明第三实施例，一种电子设备，如图4所示，可以作为实体装置来理解，包括处理器以及存储有所述处理器可执行指令的存储器，当所述指令被处理器执行时，执行如下操作：
56.s1，获取已泄露邮箱。
57.s2，根据所述已泄露邮箱以及待检测邮箱的邮箱日志，利用预先配置的量化规则，确定所述已泄露邮箱所收到的邮件信息所对应的威胁值。
58.s3，确定所述威胁值所对应的邮件信息是否为钓鱼邮件。
59.其内容以及思路与上述第一实施例相同，本文对此将不再赘述。
60.本发明第四实施例，本实施例的钓鱼邮件的识别方法的流程与第一、二或三实施例相同，区别在于，在工程实现上，本实施例可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的所述方法可以以计算机软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台设备(可以是基站等网络设备)执行本发明实施例所述的方法。
61.本发明第五实施例，本实施例是在上述实施例的基础上，可再次参考图1以及图2，以一种钓鱼邮件的识别系统为例，介绍一个本发明的应用实例。
62.s1，获取已泄露邮箱。
63.本应用实例内置了互联网泄露邮箱采集工具，配置企业邮箱后缀如"@domain.com"后即自动调取百度、谷歌、搜狗、github等api进行互联网信息查询，检测是否有已经在互联网上泄露的邮箱账号。此处也提供了自定义api和代码与脚本接入接口，可以增加自定义检测渠道，扩容发现范围。
64.除此之外，识别系统支持人工录入其他渠道知晓的已泄露邮箱账号。
65.并且，识别系统还可以自动关联待检测邮箱日志进行邮箱账号泄露分析，会对用户历史30天(可自定义)收发数据进行分析，首先获取与外域的发件人的所有记录，然后分别统计外域发件人的发送本域目标邮箱账号数、垃圾邮件命中数、敏感内容命中数、域内邮箱回复数、域内邮箱回复用户数、以及其他用户自定义特征维护等，再进行第一算法模型分
析。优选地，系统内置了聚类算法进行分析(用户也可以自定义增加其他算法模型或者直接使用匹配规则进行自定义计算)，用户可以通过修改第一算法的阈值来调整匹配程度，此步骤中模型会找出已泄露邮箱，用户可以配置阈值大于多少时自动将对应待检测邮箱添加到已泄露邮箱的列表中，也可以选择都人工审核确认泄露后添加。
66.最终的检测钓鱼邮件识别结果如果被用户确认为钓鱼事件则对应的钓鱼邮件接收用户也会被自动添加到已泄露邮箱列表中。
67.s2，根据所述已泄露邮箱以及待检测邮箱的邮箱日志，利用预先配置的量化规则，确定所述已泄露邮箱所收到的邮件信息所对应的威胁值。
68.本应用实例中，通过人工可以手动添加邮箱到白名单中，也可以在钓鱼邮件告警事件中忽略事件并选择添加为白名单，添加在白名单中的邮箱不会被上报为钓鱼邮件邮箱。
69.本应用实例中，系统可以对邮件正文、标题等字段配置检测规则，如果匹配上规则后可以增加对应的第一子威胁值(规则与威胁分均为自定义配置)
70.针对附件中有url或者文件等，进行查杀，根据检测结果增加威胁分，例如如果文件查杀有后面风险则增加对应的第二子威胁值。
71.利用第二算法，关联所有已泄露邮箱与待检测邮箱的行为日志，分析每一个发件人的发件分布，如果收件人的分布命中已泄露邮箱列表中的数量越多，对应的第三子威胁值越高，例如钓鱼邮件攻击者a，对10个目标发送了邮件，如果10个目标均为已泄露邮箱，则会计算出较高的第三子威胁值，如果只有1个目标为已泄露邮箱，则第三子威胁值较低，如果攻击者a对5个目标发送了邮件，且五个目标都为已泄露邮箱，则第三子威胁值在这三次威胁值中为中等。另外，不同用户收到的邮件内容相似度、历史邮件往来关系以及用户自定义维护也参与第二算法的计算中，最终计算出威胁分后进行累加。
72.针对特殊场景例如部门公告等群发邮件或者外部监控系统的邮件等，可以通过api或自定义代码实现扩展检测模块，可以进行威胁值的降低与增加。
73.s3，确定所述威胁值所对应的邮件信息是否为钓鱼邮件。
74.根据待检测邮件的威胁值内置了告警阈值进行自动判断，用户也可以手动修改告警阈值，当待检测邮件的威胁值大于告警阈值时则产出钓鱼邮件攻击行为告警。
75.针对告警信息如果用户进行确认，则相关邮箱会自动添加到已泄露邮箱列表中，针对忽略的告警，可以选择是否加入到白名单列表中。
76.本发明实施例对比现在已有的技术至少有以下的技术优点：
77.1)通过多种渠道的已泄露邮箱采集监控来关联待检测邮箱行为日志进行分析，可以更加准确的识别出钓鱼邮件攻击行为。
78.2)通过设置多维度的威胁值计算对收件信息进行威胁检测，提高了识别钓鱼邮件的准确率。
79.通过具体实施方式的说明，应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解，然而所附图示仅是提供参考与说明之用，并非用来对本发明加以限制。