技术特征:
1.一种恶意电子邮件检测方法,其特征在于,包括:获取邮箱客户端信息;根据所述邮箱客户端信息生成邮箱域名公共黑名单库;根据所述邮箱客户端信息生成邮箱域名私有白名单库;监控发送至各个电子邮箱账户的电子邮件信息,以得到各个电子邮箱接收到的电子邮件联系人邮箱域名;匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名公共黑名单库,以得到第一匹配结果;匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单库,以得到第二匹配结果;根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件;若发送至电子邮箱账户的电子邮件信息中存在异常电子邮件,则对异常电子邮件进行隔离;生成异常电子邮件告警信息。2.根据权利要求1所述的一种恶意电子邮件检测方法,其特征在于,所述邮箱客户端信息包括电子邮箱账户信息、电子邮箱已发送邮件联系人信息、电子邮箱已接收邮件联系人信息以及电子邮箱黑名单联系人信息。3.根据权利要求1所述的一种恶意电子邮件检测方法,其特征在于,所述根据所述邮箱客户端信息生成邮箱域名公共黑名单库,包括:计算所有电子邮箱的电子邮箱黑名单联系人信息的集合,以得到原始公共黑名单库;定时爬取和收集公开的恶意域名情报库内的恶意域名列表,以得到补充公共黑名单库;对所述原始公共黑名单库以及补充公共黑名单库进行去重、排列以及整合,以得到邮箱域名公共黑名单库。4.根据权利要求1所述的一种恶意电子邮件检测方法,其特征在于,所述根据所述邮箱客户端信息生成邮箱域名私有白名单库,包括:计算每个电子邮箱对应的电子邮箱已发送邮件联系人信息以及电子邮箱已接收邮件联系人信息的交集,以得到每个电子邮箱的邮箱域名私有白名单库。5.根据权利要求1所述的一种恶意电子邮件检测方法,其特征在于,所述匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名公共黑名单库,以得到第一匹配结果,包括:判断所述电子邮箱接收到的电子邮件联系人邮箱域名是否属于所述邮箱域名公共黑名单库内的元素;若所述电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库,以得到第一匹配结果;若所述电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共
黑名单库,以得到第一匹配结果。6.根据权利要求5所述的一种恶意电子邮件检测方法,其特征在于,所述匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单库,以得到第二匹配结果,包括:判断所述电子邮箱接收到的电子邮件联系人邮箱域名是否属于所述邮箱域名私有白名单库内的元素;若所述电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名私有白名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名私有白名单库,以得到第二匹配结果;若所述电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名私有白名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名私有白名单库,以得到第二匹配结果。7.根据权利要求6所述的一种恶意电子邮件检测方法,其特征在于,所述根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件,包括:当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库时,发送至电子邮箱账户的电子邮件信息中存在异常电子邮件,且将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为异常电子邮件;当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,且所述第二匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共白名单库时,发送至电子邮箱账户的电子邮件信息中不存在异常电子邮件,且将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为非异常电子邮件;当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,且所述第二匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共白名单库时,将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为未知邮件。8.根据权利要求7所述的一种恶意电子邮件检测方法,其特征在于,所述根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件之后,还包括:若发送至电子邮箱账户的电子邮件信息中不存在异常电子邮件,则允许非异常邮件到达对应的电子邮箱账户,对所述未知邮件进行隔离,并进行未知电子邮件的告警。9.一种恶意电子邮件检测系统,其特征在于,包括:获取单元,用于获取邮箱客户端信息;黑名单库生成单元,用于根据所述邮箱客户端信息生成邮箱域名公共黑名单库;白名单库生成单元,用于根据所述邮箱客户端信息生成邮箱域名私有白名单库;监控单元,用于监控发送至各个电子邮箱账户的电子邮件信息,以得到各个电子邮箱接收到的电子邮件联系人邮箱域名;第一匹配单元,用于匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮
箱域名公共黑名单库,以得到第一匹配结果;第二匹配单元,用于匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单库,以得到第二匹配结果;判断单元,用于根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件;第一隔离单元,用于若发送至电子邮箱账户的电子邮件信息中存在异常电子邮件,则对异常电子邮件进行隔离;信息生成单元,用于生成异常电子邮件告警信息。10.根据权利要求9所述的一种恶意电子邮件检测系统,其特征在于,所述黑名单库生成单元包括:集合计算子单元,用于计算所有电子邮箱的电子邮箱黑名单联系人信息的集合,以得到原始公共黑名单库;爬取子单元,用于定时爬取和收集公开的恶意域名情报库内的恶意域名列表,以得到补充公共黑名单库;处理子单元,用于对所述原始公共黑名单库以及补充公共黑名单库进行去重、排列以及整合,以得到邮箱域名公共黑名单库。
技术总结
本发明实施例公开了一种恶意电子邮件检测方法及其系统。方法包括:获取邮箱客户端信息;根据邮箱客户端信息生成邮箱域名公共黑名单库;根据邮箱客户端信息生成邮箱域名私有白名单库;监控发送至各个电子邮箱账户的电子邮件信息,以得到各个电子邮箱接收到的电子邮件联系人邮箱域名;匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及邮箱域名公共黑名单库;匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及邮箱域名私有白名单库;判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件;若存在,则对异常电子邮件进行隔离;生成异常电子邮件告警信息。通过实施本发明实施例的方法可实现可有效识别多变的恶意电子邮件。意电子邮件。意电子邮件。
技术研发人员:覃锦端 刘隽良 柳遵梁 王月兵
受保护的技术使用者:杭州美创科技有限公司
技术研发日:2021.12.22
技术公布日:2022/4/22