本發明的實施例公開一種釣魚郵件檢測方法、裝置、電子設備及存儲介質，涉及網絡安全技術領域，為提高釣魚郵件的識別率而發明。所述釣魚郵件檢測方法，包括：從郵件流量中獲取待檢測郵件；檢測所述待檢測郵件是否包含預定的行為特征；若所述待檢測郵件包含預定的行為特征，則確定所述待檢測郵件為釣魚郵件。所述釣魚郵件檢測裝置，包括：獲取模塊，用于從郵件流量中獲取待檢測郵件；檢測模塊，用于檢測所述待檢測郵件是否包含預定的行為特征；判斷模塊，用于若所述待檢測郵件包含預定的行為特征，則確定所述待檢測郵件為釣魚郵件。本發明適用于郵件流量中釣魚郵件的檢測識別。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種釣魚郵件檢測方法、裝置、電子設備及存儲介質。

背景技術

釣魚郵件是指利用偽裝的電子郵箱，欺騙收件人將賬號、口令等信息回復給指定的接收者；或誘使郵件接收者點擊包含惡意程序的附件或者指向包含惡意程序的惡意鏈接，進而控制目標主機竊取敏感信息。近年來，釣魚郵件的數量呈現持續上升趨勢，給網絡安全帶來了嚴峻挑戰。

對于釣魚郵件的檢測現有技術大多數都是基于釣魚郵件的內容特征進行檢測，如：匹配黑鏈接、黑地址、URL(Uniform Resource Locator，統一資源定位符)校驗等方式進行檢測。這種檢測方式大都依賴于內容特征庫的更新，內容稍加變化之后就很難識別到，由此使得基于內容檢測的釣魚郵件檢測的識別率不高。

發明內容

有鑒于此，本發明實施例提供一種釣魚郵件檢測方法、裝置、電子設備及存儲介質，能夠提高釣魚郵件的識別率。

第一方面，本發明實施例提供一種釣魚郵件檢測方法，包括：從郵件流量中獲取待檢測郵件；檢測所述待檢測郵件是否包含預定的行為特征；若所述待檢測郵件包含預定的行為特征，則確定所述待檢測郵件為釣魚郵件。

根據本發明實施例的一種具體實現方式，所述檢測所述待檢測郵件是否包含預定的行為特征，包括：

檢測所述待檢測郵件是否包含第一類行為特征；所述第一類行為特征包括：所述待檢測郵件中，所使用的發件人信箱或收件人信箱，為免費郵箱，或者為已發生過釣魚事件的郵箱；和/或，

檢測所述待檢測郵件是否包含第二類行為特征；所述第二類行為特征包括：所述待檢測郵件中，郵件的主題、正文或附件中，含有誘導性關鍵詞，或郵件的正文中的詢盤內容缺少關鍵性描述信息；和/或，

檢測所述待檢測郵件是否包含第三類行為特征；所述第三類行為特征包括：所述待檢測郵件中，附件的表面特征與實際特征不一致；和/或，

檢測所述待檢測郵件是否包含第四類行為特征；所述第四類行為特征包括：將所述待檢測郵件的附件在虛擬環境中運行時，所述附件中含有惡意行為。

根據本發明實施例的一種具體實現方式，所述附件的表面特征包括附件的文件后綴名和/或附件的圖標；所述的附件的實際特征包括附件打開后或執行后所具有的行為特征。

根據本發明實施例的一種具體實現方式，所述附件的表面特征與實際特征不一致，包括：

附件表面顯示為壓縮格式或文本格式，但該附件實際為可執行的文件；

附件表面顯示為圖片格式，但該附件實際執行后具有鏈接導向行為；

附件表面顯示為文檔格式，但該附件打開后在文檔中包含有鏈接導向地址；

附件表面顯示為可執行文件，但實際卻是帶有宏病毒的office文檔；

附件表面顯示為可執行文件，但實際執行后具有遠程連接、遠程下載、或安裝的行為；

附件表面顯示為可執行文件，但實際執行后，只在后臺運行、或具有執行其他程序的行為。