[发明专利]一种检测钓鱼邮件的方法及装置

说明书

本申请提供一种检测钓鱼邮件的方法及装置，应用于安全设备，所述安全设备与目标局域网中的若干终端设备对接，所述方法包括：接收所述终端设备上报的目标邮件的日志信息；将所述日志信息在预设的威胁情报库进行匹配，确定上述日志信息是否命中任一威胁情报；如果匹配不成功，将所述目标邮件的附件投放到预设的沙箱中进行动态检测，并基于检测结果确定所述目标邮件是否为钓鱼邮件，如果是，则生成告警信息。本申请技术中，安全设备结合威胁情报技术和沙箱技术对钓鱼邮件进行检测，有效提高了检测结果的准确性。

技术领域

本申请涉及安全防护领域，特别涉及一种检测钓鱼邮件的方法及装置。

背景技术

网络攻击者常常伪造正常邮件，利用社会工程学的技巧诱骗用户点击邮件链接或下载附件文件，从而对终端主机造成攻击。此类攻击即为网络钓鱼攻击，其发送的钓鱼邮件为恶意代码(包括勒索软件)的大范围感染和传播提供了诸多便利，危害极大，容易造成用户账户信息的泄露和财产的损失。

现有技术中，对钓鱼邮件的过滤，主要有“关键词法”和“校验码法”等。前者依据指定词语(比如：“避税”、“代开”等)对邮件进行过滤；后者则是计算邮件的文本或附件的校验码(比如：哈希值)，再将上述验证码与已知的钓鱼邮件的校验码进行比对，过滤掉与钓鱼邮件的校验码相同的邮件。

然而，上述方案需要不断对记录指定词语或校验码的特征库进行更新和维护，而无法过滤在特征库中不匹配的钓鱼邮件，效果并不理想。

发明内容

有鉴于此，本申请提供一种检测钓鱼邮件的方法及装置，用以有效地过滤钓鱼邮件。

具体地，本申请是通过如下技术方案实现的：

一种检测钓鱼邮件的方法，应用于安全设备，所述安全设备与目标局域网中的若干终端设备对接；包括：

接收所述终端设备上报的目标邮件的日志信息；

将所述日志信息在预设的威胁情报库进行匹配，确定上述日志信息是否命中任一威胁情报；

如果匹配不成功，将所述目标邮件的附件投放到预设的沙箱中进行动态检测，并基于检测结果确定所述目标邮件是否为钓鱼邮件，如果是，则生成告警信息。

在所述检测钓鱼邮件的方法中，所述方法还包括：

如果匹配成功，确定所述目标邮件为钓鱼邮件，生成告警信息。

在所述检测钓鱼邮件的方法中，所述目标局域网还包括搭载邮件网关的网关设备，所述目标邮件预先经过所述邮件网关过滤；

所述方法还包括：

当确定所述目标邮件为钓鱼邮件，提取所述目标邮件的指定特征；

将所述目标邮件的指定特征加入到所述邮件网关的特征库中。

在所述检测钓鱼邮件的方法中，所述方法还包括：

当确定所述目标邮件为钓鱼邮件，基于所述目标邮件的日志信息生成新的威胁情报，并将该威胁情报加入到所述威胁情报库中。

在所述检测钓鱼邮件的方法中，所述方法还包括：

当确定所述目标邮件为钓鱼邮件，将所述告警信息与指定用户标识相关联，生成告警工单。

一种检测钓鱼邮件的装置，应用于安全设备，所述安全设备与目标局域网中的若干终端设备对接；包括：

接收单元，用于接收所述终端设备上报的目标邮件的日志信息；

匹配单元，用于将所述日志信息在预设的威胁情报库进行匹配，确定上述日志信息是否命中任一威胁情报；