[发明专利]一种针对伪造发件人的钓鱼邮件的识别方法及系统在审
| 申请号: | 201710175755.9 | 申请日: | 2017-03-22 |
| 公开(公告)号: | CN107154926A | 公开(公告)日: | 2017-09-12 |
| 发明(设计)人: | 卓子寒;何跃鹰;刘中金;董建武;李海灵;邹潇湘;王中华;王锟 | 申请(专利权)人: | 国家计算机网络与信息安全管理中心 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/58 |
| 代理公司: | 北京国坤专利代理事务所(普通合伙)11491 | 代理人: | 姜彦 |
| 地址: | 100029*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 针对 伪造 发件人 钓鱼 邮件 识别 方法 系统 | ||
1.一种针对伪造发件人的钓鱼邮件的识别方法,其特征在于:包括如下步骤:
首先判断邮箱头域中的首个Received字段是由发送服务器添加还是接收服务器添加;
若是由发送服务器添加,则提取by字段后的地址相关信息,并判断所述地址相关信息与显示的发件人的地址是否相匹配,若匹配则判定为正常邮件,否则判定为疑似钓鱼邮件;
若是由接收服务器添加,则提取From字段后的地址相关信息,并判断所述地址相关信息与显示的发件人的地址是否相匹配,若匹配则判定为正常邮件,否则判定为疑似钓鱼邮件。
2.根据权利要求1所述的一种针对伪造发件人的钓鱼邮件的识别方法,其特征在于:在所述判断邮箱头域中的首个Received字段是由发送服务器添加还是接收服务器添加之前,还包括:若邮箱头域中包含的Received字段个数大于等于3个,则直接判定为疑似钓鱼邮件。
3.根据权利要求1或2所述的一种针对伪造发件人的钓鱼邮件的识别方法,其特征在于:判断邮箱头域中的首个Received字段是由发送服务器添加还是接收服务器添加,具体为:提取首个Received中by字段后的地址相关信息,若地址相关信息显示为接收服务器地址,则所述Received字段由接收服务器添加,否则为发送服务器添加。
4.根据权利要求1或2所述的一种针对伪造发件人的钓鱼邮件的识别方法,其特征在于:所述提取by字段后的地址相关信息,并判断所述地址相关信息与显示的发件人的地址是否相匹配,具体为:
若所述地址相关信息为邮箱服务器信息,则判断所述邮箱服务器信息与显示的发件人的地址对应的邮箱信息是否相匹配;
若所述地址相关信息为IP地址,则判断所述IP地址是否属于显示的发件人的地址对应的服务器的邮箱地址范围,若属于则判定匹配成功,否则判定匹配失败。
5.根据权利要求1或2所述的一种针对伪造发件人的钓鱼邮件的识别方法,其特征在于,所述提取From字段后的地址相关信息,并判断所述地址相关信息与显示的发件人的地址是否相匹配,具体为:
若所述地址相关信息为邮箱地址,则判断所述邮箱地址与显示的发件人的地址是否相匹配;
若所述地址相关信息为邮箱服务器地址,则判断所述邮箱服务器地址与显示的发件人的地址是否相匹配;
若所述地址相关信息为IP地址,则判断所述IP地址是否属于显示的发件人的地址对应的服务器的邮箱地址范围,若属于则判定匹配成功,否则判定匹配失败。
6.一种针对伪造发件人的钓鱼邮件的识别系统,其特征在于,包括:
服务器判定模块,用于判断邮箱头域中的首个Received字段是由发送服务器添加还是接收服务器添加;
第一匹配模块,用于若是由发送服务器添加,则提取by字段后的地址相关信息,并判断所述地址相关信息与显示的发件人的地址是否相匹配,若匹配则判定为正常邮件,否则判定为疑似钓鱼邮件;
第二匹配模块,用于若是由接收服务器添加,则提取From字段后的地址相关信息,并判断所述地址相关信息与显示的发件人的地址是否相匹配,若匹配则判定为正常邮件,否则判定为疑似钓鱼邮件。
7.根据权利要求6所述的一种针对伪造发件人的钓鱼邮件的识别系统,其特征在于,还包括:初步筛选模块,用于若邮箱头域中包含的Received字段个数大于等于3个,则直接判定为疑似钓鱼邮件。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国家计算机网络与信息安全管理中心,未经国家计算机网络与信息安全管理中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710175755.9/1.html,转载请声明来源钻瓜专利网。
- 上一篇:用于授予访问权限的方法和装置
- 下一篇:报文处理方法及装置
