[發(fā)明專利]電子郵箱地址掃描行為的判斷方法無效
| 申請?zhí)枺?/td> | 201910854313.6 | 申請日: | 2019-09-10 |
| 公開(公告)號: | CN110535757A | 公開(公告)日: | 2019-12-03 |
| 發(fā)明(設(shè)計)人: | 楊凌瀟;饒經(jīng)偉;雷濤 | 申請(專利權(quán))人: | 四川新網(wǎng)銀行股份有限公司 |
| 主分類號: | H04L12/58 | 分類號: | H04L12/58 |
| 代理公司: | 51282 成都智言知識產(chǎn)權(quán)代理有限公司 | 代理人: | 濮云杉<國際申請>=<國際公布>=<進(jìn)入 |
| 地址: | 610094 四川省成都市成都*** | 國省代碼: | 四川;51 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 掃描行為 電子郵箱地址 郵箱地址 攔截 分析 安全設(shè)備 掃描分析系統(tǒng) 安全網(wǎng)關(guān) 傳統(tǒng)郵件 地址分析 繼續(xù)執(zhí)行 內(nèi)容分析 網(wǎng)絡(luò)連接 郵件通信 郵件系統(tǒng) 有效識別 正常郵件 私密性 外部 枚舉 斷開 匹配 記錄 | ||
1.電子郵箱地址掃描行為的判斷方法,其特征包括:
A.通過安全設(shè)備對外來郵件和/或外部郵件源進(jìn)行攔截,如果所攔截的外來郵件和/或外部郵件源能夠匹配安全設(shè)備中的黑名單記錄,則斷開網(wǎng)絡(luò)連接和郵件通信協(xié)議,否則繼續(xù)執(zhí)行;
B.郵箱地址掃描分析系統(tǒng)獲取至少包括郵件頭和郵件體的郵件信息,通過對無效郵箱地址的判斷,對外來郵件和/或外部郵件源是否存在電子郵箱地址掃描行為進(jìn)行分析,所述的分析至少包括單位時間內(nèi)郵箱地址無效次數(shù)分析、枚舉地址分析、同一發(fā)件人分析、相同主題或內(nèi)容分析,或郵箱后綴分析中的至少一種;
C.根據(jù)步驟A和B的結(jié)果,如果判斷為掃描行為,則將發(fā)件人的郵件特征信息加入黑名單進(jìn)行攔截,否則按正常郵件處理。
2.如權(quán)利要求1所述的電子郵箱地址掃描行為的判斷方法,其特征為:步驟A中如果所攔截的外來郵件和/或外部郵件源匹配了安全設(shè)備中的白名單記錄,安全設(shè)備對外來郵件放行,按正常郵件處理。
3.如權(quán)利要求2所述的電子郵箱地址掃描行為的判斷方法,其特征為:步驟A中如果所攔截的外來郵件和/或外部郵件源在安全設(shè)備中的黑名單記錄和白名單記錄均沒有匹配,安全設(shè)備對外來郵件放行,同時電子郵件系統(tǒng)產(chǎn)生郵件日志,供步驟B中的郵箱地址掃描分析系統(tǒng)進(jìn)行分析。
4.如權(quán)利要求1所述的電子郵箱地址掃描行為的判斷方法,其特征為:步驟B中,郵箱地址掃描分析系統(tǒng)將獲取到的郵件信息中的郵件頭中的字段根據(jù)簡單郵件傳輸協(xié)議和郵件日志進(jìn)行所述的分析。
5.如權(quán)利要求1的電子郵箱地址掃描行為的判斷方法,其特征為:步驟B中,無效郵箱地址分析為:根據(jù)SMTP的狀態(tài)碼判斷收件人郵箱地址的真實或無效。
6.如權(quán)利要求1至5之一的電子郵箱地址掃描行為的判斷方法,其特征為:步驟B中,
單位時間內(nèi)郵箱地址無效次數(shù)分析為:統(tǒng)計在郵件日志記錄中的單位時間內(nèi)記錄郵箱地址無效的次數(shù),如果該次數(shù)超過閥值M1,則判斷為郵箱地址掃描行為;
枚舉地址分析:如果收件人地址信息中具有枚舉特征,并且具有枚舉特征的收件人地址數(shù)量超過了閾值M2,則判斷為郵箱地址掃描行為;
同一發(fā)件人分析:如果同一發(fā)件人地址發(fā)送郵件到多個收件人,并且郵件日志中收件人返回的無效郵箱地址記錄的數(shù)量超過了閾值M3,則判斷為郵箱地址掃描行為;
相同主題或內(nèi)容分析:如果不同發(fā)件人地址發(fā)送同一郵件主題和/或內(nèi)容到多個收件人,并且郵件日志中收件人返回的無效郵箱地址記錄的數(shù)量超過了閾值M4,則判斷為郵箱地址掃描行為;
郵箱后綴分析:如果發(fā)件人地址來自同一郵箱地址域名后綴,并且郵件日志中收件人返回的無效郵箱地址記錄的數(shù)量超過了閾值M5,則判斷為郵箱地址掃描行為;
將判斷為郵箱地址掃描行為的發(fā)件人信息加入黑名單進(jìn)行攔截。
7.如權(quán)利要求6所述的電子郵箱地址掃描行為的判斷方法,其特征為:在步驟B判斷的正常郵件中,如果郵件日志中收件人返回的無效郵箱地址記錄的數(shù)量超過了閾值M6,則將發(fā)件人的郵箱信息發(fā)送給管理員,由管理員進(jìn)行人工分析,如果判斷為郵箱地址掃描行為,將發(fā)件人信息加入黑名單進(jìn)行攔截。
8.如權(quán)利要求7所述的電子郵箱地址掃描行為的判斷方法,其特征為:郵箱地址掃描分析系統(tǒng)采集郵件日志記錄,根據(jù)郵件服務(wù)器在設(shè)定的時間周期內(nèi)接收的正常郵件和地址無效郵件的數(shù)量建立模型,動態(tài)調(diào)整各閾值,并根據(jù)不同的分析類型給各閾值設(shè)置不同的權(quán)重。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于四川新網(wǎng)銀行股份有限公司,未經(jīng)四川新網(wǎng)銀行股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910854313.6/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 上一篇:一種基于地理位置信息的群組通信方法
- 下一篇:一種郵件處理方法及裝置
- Web漏洞掃描行為的檢測方法及裝置
- 基于網(wǎng)絡(luò)行為的掃描檢測方法、裝置、可讀存儲介質(zhì)
- 一種掃描器指紋識別方法及其系統(tǒng)
- 基于機(jī)器學(xué)習(xí)貝葉斯算法的防掃描方法、裝置和服務(wù)器
- 一種基于TCP流狀態(tài)的網(wǎng)絡(luò)掃描檢測方法及檢測系統(tǒng)
- 服務(wù)器異常連接和掃描行為的監(jiān)控方法和裝置
- 一種公共網(wǎng)絡(luò)環(huán)境下NMAP網(wǎng)絡(luò)掃描攻擊行為的檢測方法
- 一種云防護(hù)環(huán)境下網(wǎng)站掃描檢測方法、系統(tǒng)及設(shè)備
- 一種掃描行為識別方法、裝置、設(shè)備及存儲介質(zhì)
- 一種基于掃描報文行為的判定方法及裝置
