[发明专利]一种钓鱼邮件检测方法、装置及系统

说明书

本发明涉及信息安全领域，尤其涉及一种钓鱼邮件检测方法、装置及系统，为了解决现有钓鱼邮件检测系统中检测效率过低和准确率过低的问题，该方法为，先基于邮件的头部信息，对邮件进行第一类钓鱼信息的检测，以识别出包含第一类钓鱼信息的钓鱼邮件，对于无法通过头部信息就能确定是否为钓鱼邮件的邮件，基于该邮件的正文信息，进行第二类钓鱼信息的检测，以识别出包含第二类钓鱼信息的钓鱼邮件，这样，通过对邮件进行分类检测，能防止对钓鱼邮件的漏判，提高了准确率，而且，对于能通过头部信息就能判定的钓鱼邮件，无需再进行正文信息检测，不仅保护了用户的敏感信息，还提高了检测效率，减少了资源的耗费。

技术领域

本发明涉及信息安全领域，尤其涉及一种钓鱼邮件检测方法、装置及系统。

背景技术

随着电子商务的迅速发展，网络钓鱼已经成为当前最主要也是增长最快的网络欺诈手段，近年来，网络钓鱼开始变得更加猖獗，而且网络钓鱼手段也越来越复杂，其中，网络钓鱼最常用的手段是钓鱼邮件。

钓鱼邮件是指钓鱼攻击者通过伪造发件人地址，向收件人发送带有欺骗性内容的电子邮件，例如，向收件人发送声称来自银行或者其他知名机构的欺骗性垃圾邮件，诱使收件人访问伪造的网页(Web)站点，或者，通过回复邮件的方式获取收件人的敏感信息。

最常见的钓鱼邮件大致分为三类：仿冒钓鱼邮件、链接钓鱼邮件和附件钓鱼邮件，其中，仿冒钓鱼邮件为：骗子通过自己构建的发件服务器，实现隐藏真实发件人信息，并伪装成任意发件人，而这种类型的钓鱼邮件是目前邮件用户困扰最大，识别难度最高，也是信息安全防治最无力的。链接钓鱼邮件为：在正常邮件内嵌入钓鱼链接(超链接或直接链接)，并在邮件内或在打开的链接页面中要求用户输入账户信息以查看订单或样本。附件钓鱼邮件为：通过在邮件附件中植入病毒，而附件的形式有多种，如，Html网页附件，Exe/Scr附件，Doc附件，Excel附件，PDF附件等等，其中，Exe/Scr附件的风险程度最高，一般是病毒执行程序。

现有技术下，一般采用如下两种方式对钓鱼邮件进行识别：

方式一：在获取网络中邮件数据流量后，还原邮件内容，查看发件人是否在收件人的常用联系人名单中，确认在常用联系人名单中后，将邮件内容与该发件人发送给收件人的历史通信邮件进行比对分析，提取当前邮件中出现的IP地址、域名和链接三者中的任意一个、两个或三个，与知名权威网站的邮件对应进行视觉相似度比对，从而判定所述邮件是否为鱼叉式钓鱼邮件。

上述方式中，需要对接收到的所有邮件的正文进行分析，以及需要与收件人的所有历史邮件做比对，耗费资源较大，效率较低，而且仅将邮件中出现的链接、IP地址或者域名与权威网站进行视觉比对，识别率较低，容易产生误判和漏判。

方式二：首先，解析电子邮件的头部信息，得到电子邮件的传输路径，以及对应服务器的IP地址，确定电子邮件发件人声称的域名与实际发送邮件服务器的域名是否匹配，如果匹配则认为是合法邮件，如果不匹配则认为是疑似钓鱼邮件，然后，再解析疑似钓鱼邮件的正文信息，查看是否有链接地址，获取链接地址对应的域名，判断该域名是否与发件人声称的域名一致，若不一致，则判定该邮件为钓鱼邮件。

上述方式中，虽然通过解析电子邮件的头部信息，提取进行域名比对，可以提高邮件的识别效率，但是在分析邮件正文信息时，仅将链接地址信息与发件人声称的域名进行比对判别，这种判别方式显然过于简单，容易产生误判和漏判。

另外，以上两种方式在检测邮件正文时，都仅能识别带有链接信息的钓鱼邮件，无法对不含有链接信息的钓鱼邮件进行有效识别，存在一定的局限性。

综上所述，需要设计一种新的钓鱼邮件检测方法，以提高钓鱼邮件的检测效率，以及提高钓鱼邮件检测的准确性和有效性。

发明内容

本发明实施例提供一种钓鱼邮件检测方法、装置及系统，用以解决现有技术中存在的钓鱼邮件的检测效率较低和准确性较低的问题。