鱼叉附件的检测方法、系统、电子装置和存储介质与流程

本申请涉及信息安全领域，特别是涉及一种鱼叉附件的检测方法、系统、电子装置和存储介质。

背景技术：

鱼叉攻击是黑客攻击方式之一，是以某种方式获得攻击目标的兴趣，引诱目标主动打开恶意链接或鱼叉附件，以试图访问目标的系统。例如，将木马程序作为电子邮件的附件，并起上一个极具诱惑力的名称，发送给目标，诱使目标打开附件，从而使目标的电脑系统感染木马。

服务类鱼叉攻击指的是攻击者通过各种第三方服务，例如社交媒体服务或其他非企业控制的服务给目标发送鱼叉消息，与企业控制的服务相比，这些非企业控制的服务安全限制很小。攻击者将创建虚假的服务账户，向服务使用者发送伪造的恶意链接或鱼叉附件。同时，在获取目标的账户权限后，还能够利用该目标的账户进行进一步攻击，比如对该账户的联系人发送鱼叉附件进行攻击。

现有的鱼叉防御技术大多是针对邮件中的鱼叉附件进行检测，而无法针对服务类鱼叉附件进行检测。

针对相关技术中存在无法针对服务类鱼叉附件进行检测的问题，目前还没有提出有效的解决方案。

技术实现要素：

在本实施例中提供了一种鱼叉附件的检测方法、系统、电子装置和存储介质，以解决相关技术中无法针对服务类鱼叉附件进行检测的问题。

第一个方面，在本实施例中提供了一种鱼叉附件的检测方法，包括以下步骤：

在检测到服务中用户的附件接收事件时，获取当前用户的预先配置的个性化信息、预先配置的可信附件信息、以及联系人信息；

基于获取的所述当前用户的所述个性化信息、所述可信附件信息、以及所述联系人信息，对当前接收的附件是否为鱼叉附件进行风险评估。

在其中的一些实施例中，所述个性化信息包括：用户的兴趣信息。

在其中的一些实施例中，所述可信附件信息包括信任的文件的信息、信任的发件人信息、以及信任的文件格式中的一种或多种，所述信任的文件的信息和所述信任的发件人信息为所述文件的发件人登记的，所述信任的文件格式为所述当前用户设置的。

在其中的一些实施例中，所述联系人信息包括：所述当前用户的已有联系人、所述当前用户与所述已有联系人之间的联系时间特征、和所述当前用户与所述已有联系人之间的联系内容特征中的一种或多种。

在其中的一些实施例中，在所述对当前接收的附件是否为鱼叉附件进行风险评估后，所述检测方法还包括以下步骤：

若当前接收的附件判定为鱼叉附件，则向所述当前用户发出告警，以提示所述当前用户接收的附件可能是鱼叉附件。

在其中的一些实施例中，从独立的系统中获取当前用户的预先配置的个性化信息、预先配置的可信附件信息、以及联系人信息。

在其中的一些实施例中，该检测方法包括：

在检测到服务中用户的附件接收事件时，获取当前用户的预先配置的个性化信息、预先配置的可信附件信息、以及联系人信息；

所述基于获取的所述当前用户的个性化信息、可信附件信息、以及联系人信息，对所述附件接收事件进行综合评估并得到当前接收的附件的风险评分的过程包括以下步骤：

将获取的所述当前用户的所述个性化信息、所述可信附件信息、以及所述联系人信息，与从所述附件接收事件中提取的对应的信息进行一一对比；

按照预设的评分规则对各项对比结果进行打分；

按照预设的权重，对各项打分进行加权计算，得到附件的所述风险评分。

第二个方面，在本实施例中提供了一种鱼叉附件的检测系统，包括：

用户特征模块，用于在检测到服务中用户的附件接收事件时，获取当前用户的预先配置的个性化信息、预先配置的可信附件信息、以及联系人信息；

附件检测模块，用于基于获取的当前用户的所述个性化信息、所述可信附件信息、以及所述联系人信息，对当前接收的附件是否为鱼叉附件进行风险评估。

第三个方面，在本实施例中提供了一种电子装置，包括存储器和处理器，其特征在于，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以实现上述第一个方面所述的鱼叉附件的检测方法。

第四个方面，在本实施例中提供了一种存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述第一个方面所述的鱼叉附件的检测方法。

与相关技术相比，本申请提供的鱼叉附件的检测方法、系统、电子装置和存储介质，其中鱼叉附件的检测方法通过在用户使用服务时，根据用户的个人信息和/或用户在使用服务时的特征，包括可信附件信息和联系人信息，从多维度对附件的安全性进行评估，解决了相关技术中存在无法针对服务类鱼叉附件进行检测的问题

本申请的一个或多个实施例的细节在以下附图和描述中提出，以使本申请的其他特征、目的和优点更加简明易懂。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为其中一些实施例中鱼叉附件的检测方法的应用场景图；

图2为其中一些实施例中鱼叉附件的检测方法的用户终端的硬件结构框图；

图3为其中一些实施例中鱼叉附件的检测方法的流程图；

图4为其中一些实施例中鱼叉附件的检测系统的结构框图。

具体实施方式

为更清楚地理解本申请的目的、技术方案和优点，下面结合附图和实施例，对本申请进行了描述和说明。

除另作定义外，本申请所涉及的技术术语或者科学术语应具有本申请所属技术领域具备一般技能的人所理解的一般含义。在本申请中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制，它们可以是单数或者复数。在本申请中所涉及的术语“包括”、“包含”、“具有”及其任何变体，其目的是涵盖不排他的包含；例如，包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元)，而可包括未列出的步骤或模块(单元)，或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本申请中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接，而可以包括电气连接，无论是直接连接还是间接连接。在本申请中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“a和/或b”可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。通常情况下，字符“/”表示前后关联的对象是一种“或”的关系。在本申请中所涉及的术语“第一”、“第二”、“第三”等，只是对相似对象进行区分，并不代表针对对象的特定排序。

本申请提供的鱼叉附件的检测方法可以应用于如图1所示的应用场景中，其中，用户终端100与第一服务器200进行通信，第一服务器200为客户端提供某种第三方服务，例如，公司员工共用的通信软件。本申请提供的鱼叉附件的检测方法在用户终端100中执行，为用户在使用第三方服务接收附件时提供鱼叉防御，第二服务器300中设置有防护中心，该防护中心用于接收并存储用户的个性化信息、可信附件信息和联系人信息，具体地，用户可以在防护中心注册账号，并配置个性化信息以及注册或登记可信附件信息。用户在使用第三方服务时，用户终端100对其进行监控并记录该用户的联系人信息，并上报给防护中心。防护中心便于将用户的个性化信息、可信附件信息和联系人信息进行持久化存储。当用户服务使用环境发生改变时，比如用户换一个用户终端100进行服务使用时，这些个性化信息、可信附件信息和联系人信息不会丢失。

图2是本实施例的鱼叉附件的检测方法的用户终端100的硬件结构框图。如图2所示，用户终端100可以包括一个或多个(图2中仅示出一个)处理器102和用于存储数据的存储器104，其中，处理器102可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置。上述用户终端100还可以包括用于通信功能的传输设备106以及输入输出设备108，该输入输出设备108作常规用途，例如实现该用户终端100和用户的交互。本领域普通技术人员可以理解，图2所示的结构仅为示意，其并不对上述用户终端100的结构造成限制。例如，用户终端100还可包括比图2中所示更多或者更少的组件，或者具有与图2所示出的不同配置。

存储器104可用于存储计算机程序，例如，应用软件的软件程序以及模块，如在本实施例中的鱼叉附件的检测方法对应的计算机程序，处理器102通过运行存储在存储器104内的计算机程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至用户终端100。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输设备106用于经由一个网络接收或者发送数据。上述的网络包括用户终端100的通信供应商提供的无线网络。在一个实例中，传输设备106包括一个网络适配器(networkinterfacecontroller，简称为nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输设备106可以为射频(radiofrequency，简称为rf)模块，其用于通过无线方式与互联网进行通讯。

在本实施例中提供了一种鱼叉附件的检测方法，图3是本实施例的鱼叉附件的检测方法的流程图，如图3所示，该流程包括如下步骤：

步骤s201，在检测到服务中用户的附件接收事件时，获取当前用户的预先配置的个性化信息、预先配置的可信附件信息、以及联系人信息。

步骤s202，基于获取的当前用户的所述个性化信息、可信附件信息、以及联系人信息，对当前接收的附件是否为鱼叉附件进行风险评估。

具体地，上述个性化信息可以是该用户的兴趣信息，鱼叉附件的发送者会针对攻击目标的兴趣点将附件的标题设置成该用户感兴趣的内容以引诱用户打开附件。比如该用户是一个软件工作者，爱好大数据领域、人工智能领域等，鱼叉附件的发送者可能把附件的标题设置成大数据或人工智能的相关内容，比如大数据知识图谱.zip、大数据详细资料.zip，当检测到接收的附件的标题内容属于用户的兴趣领域时，评估该附件为鱼叉附件的可能性较高。具体地，可以通过关键字提取或语义识别判断附件的标题内容是否属于用户的兴趣领域。

具体地，用户可以在防护中心配置自己的兴趣信息，该防护中心是一个独立的系统，可以设置于服务器中，便于将用户的个性化信息持久化存储，比如用户换一个终端使用服务时，这些个性化信息不会丢失。

上述可信附件信息可以包括信任的文件的信息。所述信任的文件的信息和所述信任的发件人信息为文件的发件人预先登记的。此处的发件人一般为可信的发件人，比如同公司的员工，发件人也在防护中心拥有账号，并可以将所要发送的文件进行登记。比如，登记文件的特征值(例如文件的md5值)，当检测到接收的附件的特征值为防护中心已登记过的特征值时，说明该附件为同公司员工登记过的文件，故评估该附件为鱼叉附件的可能性较低。需要说明的是，由于发件人在防护中心的账号存在被盗用的可能性，盗号者可能会登记鱼叉文件，所以不是登记的文件就一定是安全的，还要结合其他信息进行判断。

上述可信附件信息还可以包括信任的发件人信息，所述信任的发件人信息也可以为文件的发件人预先登记的信息，即防护中心已注册的用户，通常防护中心的注册服务只会面向特定的人开放，比如同一个公司的员工。所以当检测到接收的附件的发件人为防护中心已注册的用户时，评估该附件为鱼叉附件的可能性较低。

上述可信附件信息还可以包括信任的文件格式，所述信任的文件格式为用户自身信任的附件文件格式。比如该用户只信任格式为docx、txt等文档附件，不信任exe、rar等格式的附件，就将docx和txt格式设置为信任的文件格式。当检测到接收的附件的为该用户信任的文件格式时，评估该附件为鱼叉附件的可能性较低，反之，评估该附件为鱼叉附件的可能性较高。

上述联系人信息可以包括用户的已有联系人，所述已有联系人为该用户使用服务时多次联系过且没有触发过鱼叉附件警告的联系人。多次联系过且没有触发过鱼叉附件警告在一定程度上表明该联系人是安全的，故当检测到接收的附件的发件人为已有联系人时，评估该附件为鱼叉附件的可能性较低。

上述联系人信息还可以包括用户和已有联系人之间的联系时间特征和用户与已有联系人之间的联系内容特征。比如用户a和用户b是同事，用户a一般在工作时间内与用户b进行联系，并且他们之间联系的话题都是工作和业务相关的内容。将这些联系时间特征和联系内容特征记录下来，如果检测到用户a接收到来自用户b的附件的发送时间不符合以往的联系周期，或附件的主题不属于以往的联系内容范畴，该用户b的账号可能被攻击者盗用并给用户a发送鱼叉附件，故评估该附件为鱼叉附件的可能性较高。具体地，可以提取聊天记录里的频繁出现的关键字，或对聊天记录进行语义识别确定上述联系内容特征。

需要说明的是，基于获取的当前用户的所述个性化信息、可信附件信息、以及联系人信息，对当前接收的附件是否为鱼叉附件进行风险评估的方式可以有多种实现方式。比如，可以对于每个维度的都进行判断，并对判断结果进行打分，再将每个打分按一定测量结合，得到附件的综合风险评分。也可以按照一定顺序判断上述维度，比如，先判断附件是否是登记的文件，若是，再判断文件是否是信任的文件格式，若是，判定该附件不是鱼叉附件，不再进行其他维度的判断。

本实施例中提供的鱼叉附件的检测方法，在用户使用服务时，根据用户的个人信息和/或用户在使用服务时的特征，包括可信附件信息和联系人信息，从多维度对附件的安全性进行评估，解决了相关技术中存在无法针对服务类鱼叉附件进行检测的问题。

在其中的一些实施例中，提供了一种鱼叉附件的检测方法，该检测方法在上述实施例的基础上，对当前接收的附件是否为鱼叉附件进行风险评估后，所述检测方法包括以下步骤：

步骤s201，在检测到服务中用户的附件接收事件时，获取当前用户的预先配置的个性化信息、预先配置的可信附件信息、以及联系人信息。

步骤s202，基于获取的当前用户的所述个性化信息、可信附件信息、以及联系人信息，对当前接收的附件是否为鱼叉附件进行风险评估。

步骤s203，若当前接收的附件判定为鱼叉附件，则向当前用户发出告警，以提示当前用户接收的附件可能是鱼叉附件，建议用户不要打开该附件。

需要说明的是，本实施例对将当前接收的附件判定为鱼叉附件的方式不作具体限制，判定方法可以有多种，例如对附件进行风险评分，评分越高代表该附件为鱼叉附件的可能性越大，将评分高于某个阈值的附件判定为鱼叉附件。可选地，该阈值可以是用户自己设置的，具体可以在防护中心中设置。

或者，将满足某几个条件的附件判定为鱼叉附件，例如，将附件标题为用户感兴趣的领域且发件人不是已有联系人的附件判定为鱼叉附件。

本实施例中提供的鱼叉附件的检测方法，在用户使用服务时，根据用户的个人信息和/或用户在使用服务时的特征，包括可信附件信息和联系人信息，对附件的安全性进行评估，并在用户接收的附件可能为鱼叉附件的情况时给用户发出告警，防止用户打开鱼叉附件，危害系统安全。

在其中的一些实施例中，提供了一种鱼叉附件的检测方法，该检测方法包括以下步骤：

步骤s301，在检测到服务中用户的附件接收事件时，获取当前用户的预先配置的个性化信息、预先配置的可信附件信息、以及联系人信息。

步骤s302，将获取的所述当前用户的所述个性化信息、所述可信附件信息、以及所述联系人信息，与从所述附件接收事件中提取的对应的信息进行一一对比。

步骤s303，按照预设的评分规则对各项对比结果进行打分。

步骤s304，按照预设的权重，对各项打分进行加权计算，得到附件的风险评分。

例如，当检测到接收的附件的为该用户信任的文件格式时，该项评分为0，反之，该项评分为10；当检测到接收的附件的特征值为防护中心已登记过的特征值时，该项评分为0，反之为5；当检测到接收的附件的发件人为已有联系人时，该项评分为0，反之为10；当检测到接收的附件的发件人是防护中心的已注册用户时，该项评分为0，反之为5；当检测到接收的附件的标题符合以往的联系内容范畴时，该项评分为0，反之为10；对于其他项目的打分也使用类似的方法进行打分，在此不再赘述。

下面通过优选实施例对本实施例进行描述和说明。

在本优选实施例中提供了一种鱼叉附件的检测方法，该检测方法包括如下步骤：

步骤s401，在检测到服务中用户的附件接收事件时，从防护中心获取当前用户的预先配置的兴趣信息、信任的文件格式、已登记的文件的信息、已注册的发件人信息、已有联系人、当前用户与已有联系人的联系时间特征和联系内容特征。

步骤s402，判断该附件是否是可信的文件格式，如果不是，给予高风险评分，反之评分为0。

步骤s403，判断附件是否是已登记的文件，如果不是，给予低风险评分，反之风险评分为0。

步骤s404，判断附件的发件人是否是防护中心的已注册用户，如果不是，给予低风险评分，反之评分为0。

步骤s405，判断附件的发送时间是否符合在以往的联系周期，如果不是，给予低风险评分，反之评分为0。

步骤s406，判断附件的标题是否符合以往的联系内容范畴，如果不是，给予高风险评分，反之评分为0。

步骤s407，判断附件的标题是否属于用户的兴趣领域，如果是，给予高风险评分，反之评分为0。

步骤s408，根据各项评分以及各评分项的权重，计算出附件的风险评分。

步骤s409，判断上述风险评分是否高于用户在防护中心配置的风险阈值，若是，则对用户进行告警提示，告知用户该附件可能为鱼叉附件，建议用户不要打开该附件。

需要说明的是，在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。例如，步骤s402至s407任意两个步骤都可以互换。

本实施例中提供的鱼叉附件的检测方法，在用户使用服务时，根据用户的个人信息和用户在使用服务时的特征，包括可信附件信息和联系人信息，对附件的安全性进行多维度评估，能够有效检测出服务类鱼叉附件，并对用户发出警告，避免用户打开鱼叉附件导致用户系统受到损害，解决了相关技术中存在无法针对服务类鱼叉附件进行检测的问题。

在本实施例中还提供了一种鱼叉附件的检测系统，该检测系统用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图4是本实施例的鱼叉附件的检测系统的结构框图，如图4所示，该检测系统包括：

用户特征模块10，用于在检测到服务中用户的附件接收事件时，获取当前用户的预先配置的个性化信息、预先配置的可信附件信息、以及联系人信息。

风险检测模块20，用于基于获取的当前用户的所述个性化信息、所述可信附件信息、以及所述联系人信息，对当前接收的附件是否为鱼叉附件进行风险评估。

需要说明的是，上述各个模块可以是功能模块也可以是程序模块，既可以通过软件来实现，也可以通过硬件来实现。对于通过硬件来实现的模块而言，上述各个模块可以位于同一处理器中；或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。

在本实施例中还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。

可选地，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。

可选地，上述处理器用于执行以下步骤：

步骤s201，在检测到服务中用户的附件接收事件时，获取当前用户的预先配置的个性化信息、预先配置的可信附件信息、以及联系人信息。

步骤s202，基于获取的当前用户的所述个性化信息、可信附件信息、以及联系人信息，对当前接收的附件是否为鱼叉附件进行风险评估。

步骤s203，若当前接收的附件判定为鱼叉附件，则向当前用户发出告警，以提示当前用户接收的附件可能是鱼叉附件，建议用户不要打开该附件。

需要说明的是，在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，在本实施例中不再赘述。

此外，结合上述实施例中提供的鱼叉附件的检测方法，在本实施例中还可以提供一种存储介质来实现。该存储介质上存储有计算机程序；该计算机程序被处理器执行时实现上述实施例中的任意一种鱼叉附件的检测方法。

应该明白的是，这里描述的具体实施例只是用来解释这个应用，而不是用来对它进行限定。根据本申请提供的实施例，本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例，均属本申请保护范围。

显然，附图只是本申请的一些例子或实施例，对本领域的普通技术人员来说，也可以根据这些附图将本申请适用于其他类似情况，但无需付出创造性劳动。另外，可以理解的是，尽管在此开发过程中所做的工作可能是复杂和漫长的，但是，对于本领域的普通技术人员来说，根据本申请披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段，不应被视为本申请公开的内容不足。

“实施例”一词在本申请中指的是结合实施例描述的具体特征、结构或特性可以包括在本申请的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例，也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是，本申请中描述的实施例在没有冲突的情况下，可以与其它实施例结合。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对专利保护范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请的保护范围应以所附权利要求为准。