邮件检测方法、装置及介质与流程

本发明涉及网络安全，尤其涉及一种邮件检测方法、邮件检测装置及计算机可读存储介质。

背景技术：

1、目前，企业面对钓鱼邮件的防范手段主要依托于对员工安全意识进行宣贯，对于疑似钓鱼邮件进行人工判断，对于其存在的链接、附件文件等进行检测，以确定邮件的安全性。对于大型企业来讲，员工数目大，平日邮件通信基数巨大，仅仅依靠安全意识宣贯，人工排查很难及时发现钓鱼邮件，这对于企业网络安全防护是极为不利的。

2、针对大型企业的邮件安全，采用单一的手段进行邮件检测过滤，可能出现将正常邮件误判为钓鱼邮件的情况，降低了对邮件检测的准确性，所以有必要提出一种新的邮件检测方法以减少误判。

技术实现思路

1、本发明所要解决的技术问题是针对现有技术的上述不足，提供一种邮件检测方法、邮件检测装置及计算机可读存储介质，以解决现有技术采用单一的手段进行邮件检测过滤，邮件检测的准确性不高的问题。

2、第一方面，本发明提供一种邮件检测方法，所述方法包括：

3、抽取待检测邮件的元素转化为第一向量x1；

4、将x1与预先抽取钓鱼邮件样本的对应元素获得的第二向量x2

5、输入预先设计的孪生神经网络学习，以获得待检测邮件与钓鱼邮件样本的差异；

6、根据待检测邮件与钓鱼邮件样本的差异判断待检测邮件是否为疑似钓鱼邮件，如果是，则进一步按照预设的规则对待检测邮件进行特征风险研判；

7、如果根据待检测邮件与钓鱼邮件样本的差异或通过特征风险研判判断待检测邮件为正常邮件，则放行待检测邮件。

8、可选地，所述抽取待检测邮件的元素转化为第一向量x1，具体包括：

9、获取企业网关接收到的邮件作为待检测邮件，

10、使用word2vec模型抽取待检测邮件的文本转化为第一向量x1；

11、所述将x1与预先抽取钓鱼邮件样本的对应元素获得的第二向量x2输入预先设计的孪生神经网络学习之前，所述方法还包括：

12、获取钓鱼邮件数据库中的钓鱼邮件样本，

13、使用word2vec模型抽取钓鱼邮件样本的文本转化为第二向量x2。

14、可选地，所述将x1与预先抽取钓鱼邮件样本的对应元素获得的第二向量x2输入预先设计的孪生神经网络学习，以获得待检测邮件与钓鱼邮件样本的差异，具体包括：

15、将x1输入预先设计的孪生神经网络的第一神经网络network1，将x2输入预先设计的孪生神经网络的第二神经网络network2；

16、通过network1与network2共同学习获得待检测邮件的第一特征向量nw(x1)与钓鱼邮件样本的第二特征向量nw(x2)；

17、计算ew＝‖nw(x1)-nw(x2)‖作为待检测邮件与钓鱼邮件样本的差异值。

18、可选地，所述根据待检测邮件与钓鱼邮件样本的差异判断待检测邮件是否为疑似钓鱼邮件，具体包括：

19、判断所述差异值是否小于第一预设阈值，如果是，判定待检测邮件为疑似钓鱼邮件，否则判定待检测邮件为正常邮件。

20、可选地，所述按照预设的规则对待检测邮件进行特征风险研判，具体包括：

21、根据预设的量化规则获取待检测邮件的每一预设邮件风险特征条目的量化值xi；

22、根据xi与预设的评估函数计算待检测邮件的评估风险值hθ(xi)；

23、根据hθ(xi)与预设的判定规则判定待检测邮件为钓鱼邮件或正常邮件。

24、可选地，所述按照预设的规则对待检测邮件进行特征风险研判之前，所述方法还包括：

25、预先由网络安全专家制定：n个预设邮件风险特征条目、每一预设邮件风险特征条目的量化规则、根据xi计算待检测邮件hθ(xi)的评估函数、以及根据hθ(xi)判定待检测邮件为钓鱼邮件或正常邮件的判定规则。

26、可选地，所述根据xi与预设的评估函数计算待检测邮件的评估风险值hθ(xi)，具体包括：

27、将xi代入下式的预设的评估函数计算待检测邮件的评估风险值：

28、hθ(xi)＝θ0+θ1*x1+θ2*x2+θ3*x3+…+θn*xn

29、式中，hθ(xi)为评估风险值，θ0、θ1、θ2、θ3、...、θn为网络安全专家确立的系数值，n为预设邮件风险特征条目的数量。

30、可选地，所述按照预设的规则对待检测邮件进行特征风险研判之后，所述方法还包括：

31、如果通过特征风险研判判断待检测邮件为钓鱼邮件，则将待检测邮件加入钓鱼邮件数据库。

32、第二方面，本发明提供一种邮件检测装置，包括：

33、转化模块，用于抽取待检测邮件的元素转化为第一向量x1；

34、学习模块，与所述转化模块连接，用于将x1与预先抽取钓鱼邮件样本的对应元素获得的第二向量x2输入预先设计的孪生神经网络学习，以获得待检测邮件与钓鱼邮件样本的差异；

35、研判模块，与所述学习模块连接，用于根据待检测邮件与钓鱼邮件样本的差异判断待检测邮件是否为疑似钓鱼邮件，如果是，则进一步按照预设的规则对待检测邮件进行特征风险研判；

36、放行模块，与所述研判模块连接，用于如果根据待检测邮件与钓鱼邮件样本的差异或通过特征风险研判判断待检测邮件为正常邮件，则放行待检测邮件。

37、第三方面，本发明提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，当所述计算机程序被处理器运行时，实现如上所述的邮件检测方法。

38、本发明提供一种邮件检测方法、邮件检测装置及计算机可读存储介质，首先利用孪生神经网络高效的学习能力识别疑似钓鱼邮件和正常邮件，对正常邮件则直接放行，对疑似钓鱼邮件进一步通过特征风险研判确定其为正常邮件或钓鱼邮件，对待检测邮件使用孪生神经网络和特征风险研判共同检测，以提高对钓鱼邮件识别的准确性，减少将正常邮件误判为钓鱼邮件的误判率。

技术特征：

1.一种邮件检测方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述抽取待检测邮件的元素转化为第一向量x1，具体包括：

3.根据权利要求2所述的方法，其特征在于，所述按照预设的规则对待检测邮件进行特征风险研判之后，所述方法还包括：

4.根据权利要求1所述的方法，其特征在于，所述将x1与预先抽取钓鱼邮件样本的对应元素获得的第二向量x2输入预先设计的孪生神经网络学习，以获得待检测邮件与钓鱼邮件样本的差异，具体包括：

5.根据权利要求4所述的方法，其特征在于，所述根据待检测邮件与钓鱼邮件样本的差异判断待检测邮件是否为疑似钓鱼邮件，具体包括：

6.根据权利要求1-5任一项所述的方法，其特征在于，所述按照预设的规则对待检测邮件进行特征风险研判，具体包括：

7.根据权利要求6所述的方法，其特征在于，所述按照预设的规则对待检测邮件进行特征风险研判之前，所述方法还包括：

8.根据权利要求6所述的方法，其特征在于，所述根据xi与预设的评估函数计算待检测邮件的评估风险值hθ(xi)，具体包括：

9.一种邮件检测装置，其特征在于，包括：

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序，当所述计算机程序被处理器运行时，实现如权利要求1-8任一项所述的邮件检测方法。

技术总结
本发明提供一种邮件检测方法、装置及介质，涉及网络安全技术领域，用于解决在现有技术采用单一的手段进行邮件检测过滤，邮件检测的准确性不高的问题，所述方法包括：抽取待检测邮件的元素转化为第一向量X<subgt;1</subgt;；将X<subgt;1</subgt;与预先抽取钓鱼邮件样本的对应元素获得的第二向量X<subgt;2</subgt;输入预先设计的孪生神经网络学习，以获得待检测邮件与钓鱼邮件样本的差异；根据待检测邮件与钓鱼邮件样本的差异判断待检测邮件是否为疑似钓鱼邮件，如果是，则进一步按照预设的规则对待检测邮件进行特征风险研判；如果根据待检测邮件与钓鱼邮件样本的差异或通过特征风险研判判断待检测邮件为正常邮件，则放行待检测邮件。本发明可以提高对钓鱼邮件识别的准确性，减少误判率。

技术研发人员：高泽恺,徐雷,陶冶,刘伟,边林,史金雨,张立彤
受保护的技术使用者：中国联合网络通信集团有限公司
技术研发日：
技术公布日：2024/1/12