一种钓鱼邮件检测方法、装置、电子设备和存储介质与流程

本发明涉及网络安全，尤其涉及一种钓鱼邮件检测方法、装置、电子设备和存储介质。

背景技术：

1、钓鱼攻击是一种广泛传播的网络犯罪行为，攻击者通常冒充合法实体发送钓鱼邮件，钓鱼邮件是一种伪造邮件，一般目的是用来欺骗收件人将账户、口令或者密码等信息回复给指定的接收者，或者有超链接引导收件人连接到特制的钓鱼网站，旨在窃取敏感信息、资金、引诱用户点击恶意链接或附件安装恶意软件或进行其他恶意活动。

2、目前的方法主要是自动识别来对钓鱼邮件进行拦截，通过从邮件文本、邮件主题以及邮件包含的超链接提取特征，特征包括文本中的危险词汇、可疑词汇等特定的词汇，邮件中超链接的数量、是否跳转以及链接包含的特定字符等特征，这些特征通过相关学习的方法得到邮件是钓鱼邮件的概率，当检测概率超过阈值便判断邮件为钓鱼邮件。这种算法可以有效的检测邮件中的钓鱼邮件。

3、但以上检测方法中，危险词汇、可疑词汇等特定的检测词汇都是固定的，在面对种类繁多的钓鱼邮件时，容易发生漏检的情况。

技术实现思路

1、本发明提供了一种钓鱼邮件检测方法，以解决面对种类繁多的钓鱼邮件时根据固定词汇来检测钓鱼邮件容易漏检的问题。

2、第一方面，本发明提供了一种钓鱼邮件检测方法，包括：

3、获取外部发送的待检邮件的日志信息；

4、基于所述日志信息提取所述待检邮件在多个维度下的日志特征；

5、将所述日志特征输入到预设的打分模型中，得到所述待检邮件为钓鱼邮件的可疑分数；

6、若所述可疑分数大于第一预设值且小于第二预设值，将所述待检邮件推送给审核人员进行审核，以确定所述待检邮件的属性；

7、若所述可疑分数大于所述第二预设值，将所述待检邮件确定为钓鱼邮件并拦截。

8、第二方面，本发明提供了一种钓鱼邮件检测装置，包括：

9、日志信息获取模块，用于获取外部发送的待检邮件的日志信息；

10、日志特征提取模块，用于基于所述日志信息提取所述待检邮件在多个维度下的日志特征；

11、可疑分数获取模块，用于将所述日志特征输入到预设的打分模型中，得到所述待检邮件为钓鱼邮件的可疑分数；

12、第一处理模块，用于若所述可疑分数大于第一预设值且小于第二预设值，将所述待检邮件推送给审核人员进行审核，以确定所述待检邮件的属性；

13、第二处理模块，用于模块，用于若所述可疑分数大于所述第二预设值，将所述待检邮件确定为钓鱼邮件并拦截。

14、第三方面，本发明提供了一种电子设备，所述电子设备包括：

15、至少一个处理器；以及

16、与所述至少一个处理器通信连接的存储器；其中，

17、所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明第一方面所述的钓鱼邮件检测方法。

18、第四方面，本发明提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本发明第一方面所述的钓鱼邮件检测方法。

19、本发明实施例提供的一种钓鱼邮件检测方法，先获取外部发送的待检邮件的日志信息；基于日志信息提取待检邮件在多个维度下的日志特征；将日志特征输入到预设的打分模型中，得到待检邮件为钓鱼邮件的可疑分数；若可疑分数大于第一预设值且小于第二预设值，将待检邮件推送给审核人员进行审核，以确定待检邮件的属性；若可疑分数大于第二预设值，将待检邮件确定为钓鱼邮件并拦截。考虑到邮件收发可能存在复杂情况，通常需要结合多种特征来进行综合判断，该打分模型基于多个维度下的日志特征来进行打分，可使得可疑分数与待检邮件的特征贴合，进而能够提高打分准确性，通过打分模型来对待检邮件进行打分，无需根据固定的词库来进行检测，可提高对钓鱼邮件检测的灵活性和适用性。若可疑分数大于第一预设值且小于第二预设值，属于难以确定的情况，此时将待检邮件推送给审核人员进行审核，以确定待检邮件的属性，可确保准确审核邮件。

20、应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。

技术特征：

1.一种钓鱼邮件检测方法，其特征在于，包括：

2.如权利要求1所述的钓鱼邮件检测方法，其特征在于，在所述获取外部发送的待检邮件的日志信息之前，还包括：

3.如权利要求1所述的钓鱼邮件检测方法，其特征在于，所述将所述日志特征输入到预设的打分模型中，得到所述待检邮件为钓鱼邮件的可疑分数，包括：

4.如权利要求3所述的钓鱼邮件检测方法，其特征在于，所述在所述输出网络中，根据所述目标簇中的特征点的可疑分数确定所述待检邮件为钓鱼邮件的可疑分数，包括：

5.如权利要求1所述的钓鱼邮件检测方法，其特征在于，所述将所述日志特征输入到预设的打分模型中，得到所述待检邮件为钓鱼邮件的可疑分数，还包括：

6.如权利要求1-5任一项所述的钓鱼邮件检测方法，其特征在于，在所述将所述待检邮件确定为钓鱼邮件并拦截之后，还包括：

7.如权利要求6所述的钓鱼邮件检测方法，其特征在于，在所述将所述反馈信息、所述日志特征、所述可疑分数和所述识别指标与所述钓鱼邮件存入数据库之后，还包括：

8.一种钓鱼邮件检测装置，其特征在于，包括：

9.一种电子设备，其特征在于，所述电子设备包括：

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的钓鱼邮件检测方法。

技术总结
本发明公开了一种钓鱼邮件检测方法、装置、电子设备和存储介质，先获取外部发送的待检邮件的日志信息；基于日志信息提取待检邮件在多个维度下的日志特征；将日志特征输入到预设的打分模型中，得到待检邮件为钓鱼邮件的可疑分数；若可疑分数大于第一预设值且小于第二预设值，将待检邮件推送给审核人员进行审核，以确定待检邮件的属性；若可疑分数大于第二预设值，将待检邮件确定为钓鱼邮件并拦截。基于多个维度下的日志特征来进行打分，可使得可疑分数与待检邮件的特征贴合，进而能够提高打分准确性，通过打分模型来对待检邮件进行打分，无需根据固定的词库来进行检测，可提高对钓鱼邮件检测的灵活性和适用性。

技术研发人员：彭伟东,张毅,王志甫,郑欢,黄名超
受保护的技术使用者：广州趣研网络科技有限公司
技术研发日：
技术公布日：2024/7/15