1. 一种基于链接特征分析的钓鱼邮件检测方法,其特征在于,包括: 获取待检测邮件的内容中的链接; 按照预设过滤方式对所述链接进行过滤处理,得到过滤后的链接; 提取所述过滤后的链接的预设链接特征,并对所述预设链接特征进行向量化处理,得 到所述待检测邮件的链接特征向量,其中,所述预设链接特征用于区分钓鱼邮件和非钓鱼 邮件; 通过预设分类模型对所述链接特征向量进行类型检测,检测得到所述待检测邮件是否 为钓鱼邮件。
2. 根据权利要求1所述的方法,其特征在于,获取待检测邮件的内容中的链接包括: 获取所述待检测邮件; 根据多用途互联网邮件扩展类型标准对所述待检测邮件进行解析,得到所述待检测邮 件的发件人邮箱域名和所述待检测邮件的内容; 提取所述待检测邮件的内容中的链接,进而得到所述待检测邮件的内容中的链接。
3. 根据权利要求2所述的方法,其特征在于,获取所述待检测邮件包括: 在网络流量中提取邮件数据流,其中,所述邮件数据流至少包括:P〇P协议的数据流, SMTP协议的数据流,IMAP协议的数据流; 对所述邮件数据流进行解析,进而得到邮件格式的待检测邮件; 或者, 在邮件格式的文件中读取所述待检测邮件。
4. 根据权利要求2所述的方法,其特征在于,提取所述待检测邮件的内容中的链接包 括: 判断所述待检测邮件的格式类型; 如果所述格式类型为HTML格式类型,则根据HTML标准提取标签a中的链接和标签area 中的链接,并将所述标签a中的链接和所述标签area中的链接作为所述待检测邮件的内容 中的链接; 如果所述格式类型为文本格式类型,则采用正则表达式提取所述待检测邮件的内容中 的链接。
5. 根据权利要求2所述的方法,其特征在于,按照预设过滤方式对所述链接进行过滤处 理包括: 在所述链接中过滤出与自身邮件白名单中的域名不同的域名所对应的链接,得到第一 过滤后的链接; 在所述第一过滤后的链接中过滤出与预设域名白名单中的域名不同的域名所对应的 链接,得到第二过滤后的链接,并将与所述预设域名白名单中的域名相同的域名保存至所 述自身邮件白名单; 在所述第二过滤后的链接中过滤出与A1 exa白名单中的域名不同的域名所对应的链 接,得到第三过滤后的链接,并将与所述Alexa白名单中的域名相同的域名保存至所述自身 邮件白名单; 在所述第三过滤后的链接中过滤出与所述发件人邮箱域名不同的域名所对应的链接, 进而得到所述过滤后的链接,并将与所述发件人邮箱域名相同的域名和所述过滤后的链接 的域名保存至所述自身邮件白名单。
6.根据权利要求2所述的方法,其特征在于,提取所述过滤后的链接的预设链接特征包 括: 确定所述过滤后的链接的域名是否使用IP,得到是否使用1?的特征; 确定所述IP是否不属于预设局域网段IP,得到是否不属于所述预设局域网段ip的特 征; 确定所述过滤后的链接的域名是否与文本描述的链接域名不符,得到是否与所述文本 描述的链接域名不符的特征; 确定所述过滤后的链接的域名是否超过四级,得到是否超过四级的特征; 确定所述过滤后的链接的域名中字母分布频率与正常网站的域名中字母分布频率的 差值是否大于预设阈值,得到是否大于预设阈值的特征; 确定所述过滤后的链接的域名是否与所述发件人邮箱域名不一致,且所述发件人邮箱 域名是否为所述过滤后的链接的域名的子串,得到是否与所述发件人邮箱域名不一致且所 述发件人邮箱域名是否为所述过滤后的链接的域名的子串的特征; 确定所述过滤后的链接是否存在预设网页脚本关键字和邮箱账号,得到是否存在所述 预设网页脚本关键字和所述邮箱账号的特征。
7.根据权利要求6所述的方法,其特征在于,对所述预设链接特征进行向量化处理包 括: 对所述是否使用IP的特征,所述是否不属于所述预设局域网段IP的特征,所述是否与 所述文本描述的链接域名不符的特征,所述是否超过四级的特征,所述是否大于预设阈值 的特征,所述是否与所述发件人邮箱域名不一致且所述发件人邮箱域名是否为所述过滤后 的链接的域名的子串的特征,所述是否存在所述预设网页脚本关键字和所述邮箱账号的特 征分别进行0或1向量化处理,得到所述待检测邮件的链接特征向量。
8.根据权利要求1所述的方法,其特征在于,通过预设分类模型对所述链接特征向量进 行类型检测包括: 将所述链接特征向量输入至所述预设分类模型,其中,所述预设分类模型包括以下任 一种:朴素贝叶斯分类模型,支持向量机模型; 输出得到数值结果,其中,所述数值结果用于表征所述待检测邮件是否为钓鱼邮件; 将所述数值结果与预设边界阈值进行对比,并根据对比结果确定所述待检测邮件是否 为钓鱼邮件,其中,所述预设边界阈值为是否为钓鱼邮件的边界值。
9. 一种基于链接特征分析的钓鱼邮件检测系统,其特征在于,包括: 获取模块,用于获取待检测邮件的内容中的链接; 过滤模块,用于按照预设过滤方式对所述链接进行过滤处理,得到过滤后的链接; 提取模块,用于提取所述过滤后的链接的预设链接特征,并对所述预设链接特征进行 向量化处理,得到所述待检测邮件的链接特征向量,其中,所述预设链接特征用于区分钓鱼 邮件和非钓鱼邮件; 类型检测模块,用于通过预设分类模型对所述链接特征向量进行类型检测,检测得到 所述待检测邮件是否为钓鱼邮件。
10. 根据权利要求9所述的系统,其特征在于,所述获取模块包括: 获取单元,用于获取所述待检测邮件; 解析单元,用于根据多用途互联网邮件扩展类型标准对所述待检测邮件进行解析,得 到所述待检测邮件的发件人邮箱域名和所述待检测邮件的内容; 提取单元,用于提取所述待检测邮件的内容中的链接,进而得到所述待检测邮件的内 容中的链接。
172
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
