本發明公開了一種魚叉郵件檢測方法，該方法包括：當接收到待檢測郵件時，獲取與所述待檢測郵件對應的郵件日志；提取所述郵件日志中屬于預設特征集合的各個目標特征；根據所述各個目標特征，確定所述待檢測郵件的郵件類型，其中所述郵件類型包括魚叉郵件和非魚叉郵件。本發明還公開了一種魚叉郵件檢測裝置、設備及可讀存儲介質。本發明通過接收待檢測郵件時，獲取與待檢測郵件對應的郵件日志，提取郵件日志中的各個目標特征，并根據這些目標特征，確定待檢測郵件是否為魚叉郵件，提升了魚叉郵件的檢測成功率。

技術領域

本發明涉及郵件檢測領域，尤其涉及魚叉郵件檢測方法、裝置、設備及計算機可讀存儲介質。

背景技術

魚叉郵件是以木馬程序作為附件的一類惡意郵件，因魚叉郵件相較于傳統郵件更具有針對性，所以危害性更大。現有的魚叉郵件檢測方法是通過主流殺毒軟件對郵件進行查殺，但這種檢測方法存在兩個問題，一是黑客會不斷修改魚叉郵件的附件，這使得殺毒軟件的檢測成功率下降；二是魚叉郵件會偽裝成正常郵件，郵件網關在檢查郵件時往往會為了控制誤報，而對偽裝成正常郵件的魚叉郵件進行放行，這也使得魚叉郵件的檢測成功率下降。

發明內容

本發明的主要目的在于提供一種魚叉郵件檢測方法，旨在解決當前的魚叉郵件檢測成功率低的技術問題。

此外，為實現上述目的，本發明還提供一種魚叉郵件檢測方法，所述魚叉郵件檢測方法包括以下步驟：

當接收到待檢測郵件時，獲取與所述待檢測郵件對應的郵件日志；

提取所述郵件日志中屬于預設特征集合的各個目標特征；

根據所述各個目標特征，確定所述待檢測郵件的郵件類型，其中所述郵件類型包括魚叉郵件和非魚叉郵件。

可選地，所述當接收到待檢測郵件時，獲取與所述待檢測郵件對應的郵件日志的步驟，之后包括：

提取所述郵件日志中屬于預設字段集合的目標字段；

獲取與所述目標字段關聯的關鍵字，并判斷所述目標字段與所述關鍵字組成的日志記錄條是否屬于預設記錄條集合；

若所述日志記錄條屬于所述預設記錄條集合，則執行所述提取所述郵件日志中屬于預設特征集合的各個目標特征的步驟。

可選地，所述獲取與所述目標字段關聯的關鍵字，并判斷所述目標字段與所述關鍵字組成的日志記錄條是否屬于預設記錄條集合的步驟，包括：

若所述目標字段為客戶端字段，且與所述客戶端字段關聯的關鍵字屬于與所述客戶端字段對應的預設關鍵字集合，則判定日志記錄條屬于預設記錄條集合；

若所述目標字段為附件字段，且與所述附件字段關聯的關鍵字與標識待檢測郵件是否存在附件的第一預設關鍵字相同，則判定日志記錄條屬于預設記錄條集合；

若所述目標字段為協議字段，且與所述協議字段關聯的關鍵字與標識郵件協議是否為發件協議的第二預設關鍵字相同，則判定日志記錄條屬于預設記錄條集合；

若所述目標字段為網絡字段，且與所述網絡字段關聯的關鍵字屬于與所述網絡字段對應的預設關鍵字集合，則判定日志記錄條屬于預設記錄條集合。

可選地，所述根據所述各個目標特征，確定所述待檢測郵件的郵件類型的步驟，包括：

獲取預設分值映射表中與所述各個目標特征關聯的目標分值，并計算所有所述目標分值的總分值；

判斷所述總分值是否大于預設閾值；

若所述總分值大于所述預設閾值，則確定待檢測郵件為魚叉郵件。

可選地，所述獲取預設分值映射表中與所述各個目標特征關聯的目標分值的步驟包括：