本發明涉及信息安全領域，尤其涉及一種釣魚郵件檢測方法、裝置及系統，為了解決現有釣魚郵件檢測系統中檢測效率過低和準確率過低的問題，該方法為，先基于郵件的頭部信息，對郵件進行第一類釣魚信息的檢測，以識別出包含第一類釣魚信息的釣魚郵件，對于無法通過頭部信息就能確定是否為釣魚郵件的郵件，基于該郵件的正文信息，進行第二類釣魚信息的檢測，以識別出包含第二類釣魚信息的釣魚郵件，這樣，通過對郵件進行分類檢測，能防止對釣魚郵件的漏判，提高了準確率，而且，對于能通過頭部信息就能判定的釣魚郵件，無需再進行正文信息檢測，不僅保護了用戶的敏感信息，還提高了檢測效率，減少了資源的耗費。

技術領域

本發明涉及信息安全領域，尤其涉及一種釣魚郵件檢測方法、裝置及系統。

背景技術

隨著電子商務的迅速發展，網絡釣魚已經成為當前最主要也是增長最快的網絡欺詐手段，近年來，網絡釣魚開始變得更加猖獗，而且網絡釣魚手段也越來越復雜，其中，網絡釣魚最常用的手段是釣魚郵件。

釣魚郵件是指釣魚攻擊者通過偽造發件人地址，向收件人發送帶有欺騙性內容的電子郵件，例如，向收件人發送聲稱來自銀行或者其他知名機構的欺騙性垃圾郵件，誘使收件人訪問偽造的網頁(Web)站點，或者，通過回復郵件的方式獲取收件人的敏感信息。

最常見的釣魚郵件大致分為三類：仿冒釣魚郵件、鏈接釣魚郵件和附件釣魚郵件，其中，仿冒釣魚郵件為：騙子通過自己構建的發件服務器，實現隱藏真實發件人信息，并偽裝成任意發件人，而這種類型的釣魚郵件是目前郵件用戶困擾最大，識別難度最高，也是信息安全防治最無力的。鏈接釣魚郵件為：在正常郵件內嵌入釣魚鏈接(超鏈接或直接鏈接)，并在郵件內或在打開的鏈接頁面中要求用戶輸入賬戶信息以查看訂單或樣本。附件釣魚郵件為：通過在郵件附件中植入病毒，而附件的形式有多種，如，Html網頁附件，Exe/Scr附件，Doc附件，Excel附件，PDF附件等等，其中，Exe/Scr附件的風險程度最高，一般是病毒執行程序。

現有技術下，一般采用如下兩種方式對釣魚郵件進行識別：

方式一：在獲取網絡中郵件數據流量后，還原郵件內容，查看發件人是否在收件人的常用聯系人名單中，確認在常用聯系人名單中后，將郵件內容與該發件人發送給收件人的歷史通信郵件進行比對分析，提取當前郵件中出現的IP地址、域名和鏈接三者中的任意一個、兩個或三個，與知名權威網站的郵件對應進行視覺相似度比對，從而判定所述郵件是否為魚叉式釣魚郵件。

上述方式中，需要對接收到的所有郵件的正文進行分析，以及需要與收件人的所有歷史郵件做比對，耗費資源較大，效率較低，而且僅將郵件中出現的鏈接、IP地址或者域名與權威網站進行視覺比對，識別率較低，容易產生誤判和漏判。

方式二：首先，解析電子郵件的頭部信息，得到電子郵件的傳輸路徑，以及對應服務器的IP地址，確定電子郵件發件人聲稱的域名與實際發送郵件服務器的域名是否匹配，如果匹配則認為是合法郵件，如果不匹配則認為是疑似釣魚郵件，然后，再解析疑似釣魚郵件的正文信息，查看是否有鏈接地址，獲取鏈接地址對應的域名，判斷該域名是否與發件人聲稱的域名一致，若不一致，則判定該郵件為釣魚郵件。

上述方式中，雖然通過解析電子郵件的頭部信息，提取進行域名比對，可以提高郵件的識別效率，但是在分析郵件正文信息時，僅將鏈接地址信息與發件人聲稱的域名進行比對判別，這種判別方式顯然過于簡單，容易產生誤判和漏判。

另外，以上兩種方式在檢測郵件正文時，都僅能識別帶有鏈接信息的釣魚郵件，無法對不含有鏈接信息的釣魚郵件進行有效識別，存在一定的局限性。

綜上所述，需要設計一種新的釣魚郵件檢測方法，以提高釣魚郵件的檢測效率，以及提高釣魚郵件檢測的準確性和有效性。

發明內容

本發明實施例提供一種釣魚郵件檢測方法、裝置及系統，用以解決現有技術中存在的釣魚郵件的檢測效率較低和準確性較低的問題。