本發(fā)明提出了一種釣魚郵件的識(shí)別方法及系統(tǒng)、電子設(shè)備，所述方法包括：獲取已泄露郵箱；根據(jù)所述已泄露郵箱以及待檢測(cè)郵箱的郵箱日志，利用預(yù)先配置的量化規(guī)則，確定所述已泄露郵箱所收到的郵件信息所對(duì)應(yīng)的威脅值；確定所述威脅值所對(duì)應(yīng)的郵件信息是否為釣魚郵件。本發(fā)明所提供的實(shí)施例中，通過多種渠道的已泄露郵箱采集監(jiān)控來關(guān)聯(lián)待檢測(cè)郵箱行為日志進(jìn)行分析，可以更加準(zhǔn)確的識(shí)別出釣魚郵件攻擊行為。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種釣魚郵件的識(shí)別方法及系統(tǒng)、電子設(shè)備。

背景技術(shù)

傳統(tǒng)的郵件日志分析識(shí)別釣魚郵件主要通過黑名單關(guān)鍵字的方法，例如郵件內(nèi)容中包含密碼等敏感關(guān)鍵字則上報(bào)為釣魚郵件，此類場(chǎng)景如果關(guān)鍵字過于簡(jiǎn)單則非常容易產(chǎn)生誤報(bào)，且由于完全依賴黑名單，導(dǎo)致也會(huì)產(chǎn)生很多漏報(bào)情況。現(xiàn)有技術(shù)中，缺少一種可以更加精準(zhǔn)識(shí)別釣魚郵件攻擊行為的方法。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題是針對(duì)于郵箱日志分析，提出一種可以更加精準(zhǔn)識(shí)別釣魚郵件攻擊行為的方法，具體是提供一種釣魚郵件的識(shí)別方法及系統(tǒng)、電子設(shè)備。

本發(fā)明采用的技術(shù)方案是，所述釣魚郵件的識(shí)別方法，包括：獲取已泄露郵箱；根據(jù)所述已泄露郵箱以及待檢測(cè)郵箱的郵箱日志，利用預(yù)先配置的量化規(guī)則，確定所述已泄露郵箱所收到的郵件信息所對(duì)應(yīng)的威脅值；確定所述威脅值所對(duì)應(yīng)的郵件信息是否為釣魚郵件。

在一個(gè)實(shí)施方式中，所述獲取已泄露郵箱，包括：通過爬取互聯(lián)網(wǎng)數(shù)據(jù)，確定并獲取所爬取范圍內(nèi)的郵箱中的已泄露郵箱；和\或利用預(yù)設(shè)的第一算法，對(duì)可獲得的待檢測(cè)郵箱進(jìn)行檢測(cè)，以確定并獲取其中的所述已泄露郵箱。

在一個(gè)實(shí)施方式中，所述根據(jù)所述已泄露郵箱以及待檢測(cè)郵箱的郵箱日志，利用預(yù)先配置的量化規(guī)則，確定所述已泄露郵箱所收到的郵件信息所對(duì)應(yīng)的威脅值，包括：通過預(yù)先配置的白名單對(duì)待檢測(cè)郵箱的所收到的郵件信息進(jìn)行篩選，以在所述待檢測(cè)郵箱中篩選出其中的未泄露郵箱；利用預(yù)先配置的所述量化規(guī)則，確定其余所述待檢測(cè)郵箱所收到的郵件信息所對(duì)應(yīng)的威脅值。

在一個(gè)實(shí)施方式中，所述利用預(yù)先配置的所述量化規(guī)則，確定其余所述待檢測(cè)郵箱所收到的郵件信息所對(duì)應(yīng)的威脅值，包括：通過預(yù)先配置的黑名單對(duì)所述待檢測(cè)郵箱所收到的郵件信息進(jìn)行篩選，確定所述郵件信息的第一子威脅值；通過對(duì)所述待檢測(cè)郵箱所收到的郵件信息的附件進(jìn)行查殺處理，確定所述郵件信息的第二子威脅值；獲取對(duì)所述待檢測(cè)郵箱以及所述已泄露郵箱的郵箱日志中的關(guān)聯(lián)信息，基于預(yù)先配置的第二算法，利用所述關(guān)聯(lián)信息確定所述郵件信息的第三子威脅值；將所述第一子威脅值，所述第二子威脅值，所述第三子威脅值相加得到所述威脅值。

在一個(gè)實(shí)施方式中，所述獲取對(duì)所述待檢測(cè)郵箱以及所述已泄露郵箱的郵箱日志中的關(guān)聯(lián)信息，基于預(yù)先配置的第二算法，利用所述關(guān)聯(lián)信息確定所述郵件信息的第三子威脅值，包括：確定所述郵件信息對(duì)應(yīng)的發(fā)件人的所發(fā)郵件的接收人中，所述已泄露郵箱的數(shù)量；利用預(yù)設(shè)的第二算法，基于所述已泄露郵箱的數(shù)量，得到當(dāng)前所述郵件信息的所述第三子威脅值。

在一個(gè)實(shí)施方式中，所述確定所述威脅值所對(duì)應(yīng)的郵件信息是否為釣魚郵件包括：將所述威脅值與預(yù)先配置的告警閾值作比較，當(dāng)所述威脅值高于所述告警閾值時(shí)，該威脅值所對(duì)應(yīng)的郵件被確定為釣魚郵件。

在一個(gè)實(shí)施方式中，所述確定所述威脅值所對(duì)應(yīng)的郵件信息是否為釣魚郵件的步驟之后，還包括：將被確定為所述釣魚郵件所對(duì)應(yīng)的所有收件郵箱確定為已泄露郵箱。

本發(fā)明的另一方面提供了一種釣魚郵件信息識(shí)別系統(tǒng)，包括：收集模塊，被配置為獲取已泄露郵箱；識(shí)別模塊，被配置為根據(jù)所述已泄露郵箱以及待檢測(cè)郵箱的郵箱日志，利用預(yù)先配置的量化規(guī)則，確定所述已泄露郵箱所收到的郵件信息所對(duì)應(yīng)的威脅值；告警模塊，被配置為確定所述威脅值所對(duì)應(yīng)的郵件信息是否為釣魚郵件。