[发明专利]一种恶意电子邮件检测方法及其系统

权利要求书

1.一种恶意电子邮件检测方法，其特征在于，包括：

获取邮箱客户端信息；

根据所述邮箱客户端信息生成邮箱域名公共黑名单库；

根据所述邮箱客户端信息生成邮箱域名私有白名单库；

监控发送至各个电子邮箱账户的电子邮件信息，以得到各个电子邮箱接收到的电子邮件联系人邮箱域名；

匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名公共黑名单库，以得到第一匹配结果；

匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单库，以得到第二匹配结果；

根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件；

若发送至电子邮箱账户的电子邮件信息中存在异常电子邮件，则对异常电子邮件进行隔离；

生成异常电子邮件告警信息。

2.根据权利要求1所述的一种恶意电子邮件检测方法，其特征在于，所述邮箱客户端信息包括电子邮箱账户信息、电子邮箱已发送邮件联系人信息、电子邮箱已接收邮件联系人信息以及电子邮箱黑名单联系人信息。

3.根据权利要求1所述的一种恶意电子邮件检测方法，其特征在于，所述根据所述邮箱客户端信息生成邮箱域名公共黑名单库，包括：

计算所有电子邮箱的电子邮箱黑名单联系人信息的集合，以得到原始公共黑名单库；

定时爬取和收集公开的恶意域名情报库内的恶意域名列表，以得到补充公共黑名单库；

对所述原始公共黑名单库以及补充公共黑名单库进行去重、排列以及整合，以得到邮箱域名公共黑名单库。

4.根据权利要求1所述的一种恶意电子邮件检测方法，其特征在于，所述根据所述邮箱客户端信息生成邮箱域名私有白名单库，包括：

计算每个电子邮箱对应的电子邮箱已发送邮件联系人信息以及电子邮箱已接收邮件联系人信息的交集，以得到每个电子邮箱的邮箱域名私有白名单库。

5.根据权利要求1所述的一种恶意电子邮件检测方法，其特征在于，所述匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名公共黑名单库，以得到第一匹配结果，包括：

判断所述电子邮箱接收到的电子邮件联系人邮箱域名是否属于所述邮箱域名公共黑名单库内的元素；

若所述电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库内的元素，则确定电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库，以得到第一匹配结果；

若所述电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库内的元素，则确定电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库，以得到第一匹配结果。

6.根据权利要求5所述的一种恶意电子邮件检测方法，其特征在于，所述匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单库，以得到第二匹配结果，包括：

判断所述电子邮箱接收到的电子邮件联系人邮箱域名是否属于所述邮箱域名私有白名单库内的元素；

若所述电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名私有白名单库内的元素，则确定电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名私有白名单库，以得到第二匹配结果；

若所述电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名私有白名单库内的元素，则确定电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名私有白名单库，以得到第二匹配结果。