本发明涉及邮件检测,尤其涉及一种钓鱼邮件识别方法、装置、设备及介质。
背景技术:
1、钓鱼邮件通常会伪装成正规的机构,如电商平台等,发送邮件给用户,这些邮件的内容可能会以中奖通知、系统更新等理由,诱导用户点击邮件中的链接或输入个人信息。为了保证企业信息安全以及个人隐私安全,需要及时对钓鱼邮件进行识别,并对用户进行提醒,以维护良好的网络秩序。
2、现有的钓鱼邮件识别方法,一般是针对邮件的单一特征或少量特征进行识别,但不法分子发送钓鱼邮件的形式多样,对于高度伪装的钓鱼邮件,可能无法准确识别。并且,现有的钓鱼邮件识别方法的可解释性较差,即使识别出了钓鱼邮件,但用户难以理解其识别钓鱼邮件的依据,不利于进行人工干预和优化。
技术实现思路
1、本发明提供了一种钓鱼邮件识别方法、装置、设备及介质,能够根据邮件的多源特征进行钓鱼邮件检测,提高了钓鱼邮件识别的准确性和可靠性。
2、根据本发明的一方面,提供了一种钓鱼邮件识别方法,包括:
3、每当接收到新发送的目标邮件时,对目标邮件进行多源特征提取,获取目标邮件各类特征的特征向量,并对各类特征的特征向量进行融合,获取特征融合结果;
4、将所述特征融合结果输入至预先建立的邮件识别模型中,并获取所述邮件识别模型输出的识别结果;
5、当根据所述识别结果确定目标邮件属于钓鱼邮件时,根据预设的筛查规则确定目标邮件是否允许展示;
6、当确定目标邮件允许展示时,提取目标邮件中的告警元素,并根据所述识别结果与所述告警元素,向用户发送报警。
7、可选的,对目标邮件进行多源特征提取,获取目标邮件各类特征的特征向量,包括:
8、分别对目标邮件的地址特征、邮件头特征、邮件正文特征以及附件特征进行提取,获取与各类特征分别对应的多个特征元素;
9、根据与各类特征分别对应的多个特征元素,确定各类特征的特征向量。
10、可选的,地址特征的特征元素中包括完整邮件地址、发件人账户名称以及发件人邮箱域名;
11、邮件头特征的特征元素中包括x-header、x-return path、message-id、dkim、dmarc以及spf;
12、邮件正文特征的特征元素中包括url、重定向url、邮件文本、超文本标记语言html代码以及图片;
13、附件特征的特征元素中包括哈希、混淆代码以及动态行为。
14、可选的,当根据所述识别结果确定目标邮件属于钓鱼邮件时,根据预设的筛查规则确定目标邮件是否允许展示,包括:
15、当确定目标邮件的完整邮件地址、发件人账户名称以及发件人邮箱域名中的至少一项属于用户白名单时,确定目标邮件属于不允许展示邮件,并生成钓鱼邮件标签与目标邮件进行对应存储。
16、可选的,当确定目标邮件允许展示时,提取目标邮件中的告警元素,包括:
17、当确定目标邮件允许展示时,对目标邮件的邮件正文以及附件进行分析,获取目标邮件中的诱导行为语句,并将诱导行为语句确定为告警元素。
18、可选的,在根据所述识别结果与所述告警元素,向用户发送报警之后,还包括:
19、当确定用户对目标邮件进行处理之后,获取用户针对于目标邮件的研判结果;其中,所述研判结果中包括目标邮件的真实属性以及误判情况。
20、可选的,钓鱼邮件识别方法,还包括:
21、每当到达邮件识别模型的更新节点,根据所述更新节点确定目标时间段,并获取目标时间段内的历史邮件;
22、其中,目标时间段内的历史邮件包括目标时间段内接收的正常邮件、目标时间段内确定为不允许展示的钓鱼邮件以及目标时间段内产生研判结果的钓鱼邮件;
23、根据目标时间段内的历史邮件,对邮件识别模型再次进行训练,以获取更新后的邮件识别模型。
24、根据本发明的另一方面,提供了一种钓鱼邮件识别装置,包括:
25、特征提取模块,用于每当接收到新发送的目标邮件时,对目标邮件进行多源特征提取,获取目标邮件各类特征的特征向量,并对各类特征的特征向量进行融合,获取特征融合结果;
26、模型识别模块,用于将所述特征融合结果输入至预先建立的邮件识别模型中,并获取所述邮件识别模型输出的识别结果;
27、邮件筛查模块,用于当根据所述识别结果确定目标邮件属于钓鱼邮件时,根据预设的筛查规则确定目标邮件是否允许展示;
28、告警展示模块,用于当确定目标邮件允许展示时,提取目标邮件中的告警元素,并根据所述识别结果与所述告警元素,向用户发送报警。
29、根据本发明的另一方面,提供了一种电子设备,所述电子设备包括:
30、至少一个处理器;以及
31、与所述至少一个处理器通信连接的存储器;其中,
32、所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的钓鱼邮件识别方法。
33、根据本发明的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的钓鱼邮件识别方法。
34、本发明实施例的技术方案,通过每当接收到新发送的目标邮件时,对目标邮件进行多源特征提取,获取目标邮件各类特征的特征向量,进而进行特征融合,获取特征融合结果,将特征融合结果输入至预先建立的邮件识别模型中,获取邮件识别模型输出的识别结果,并根据预设的筛查规则判断被认定为钓鱼邮件的目标邮件是否允许展示,当确定目标邮件允许展示时,提取目标邮件中的告警元素,并根据识别结果与所述告警元素,向用户发送报警的方式,能够针对邮件的多源特征进行实时的钓鱼邮件识别,有效捕捉钓鱼邮件的细微特征,有效提高了钓鱼邮件检测的准确性,能够及时防范钓鱼邮件的攻击,并且,在识别到钓鱼邮件之后,其结果可以清晰地展示钓鱼邮件的识别依据,使得钓鱼邮件识别具有可解释性,方便用户理解和人工干预。
35、应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
1.一种钓鱼邮件识别方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,对目标邮件进行多源特征提取,获取目标邮件各类特征的特征向量,包括:
3.根据权利要求2所述的方法,其特征在于,地址特征的特征元素中包括完整邮件地址、发件人账户名称以及发件人邮箱域名;
4.根据权利要求3所述的方法,其特征在于,当根据所述识别结果确定目标邮件属于钓鱼邮件时,根据预设的筛查规则确定目标邮件是否允许展示,包括:
5.根据权利要求3所述的方法,其特征在于,当确定目标邮件允许展示时,提取目标邮件中的告警元素,包括:
6.根据权利要求1所述的方法,其特征在于,在根据所述识别结果与所述告警元素,向用户发送报警之后,还包括:
7.根据权利要求6所述的方法,其特征在于,还包括:
8.一种钓鱼邮件识别装置,其特征在于,包括:
9.一种电子设备,其特征在于,所述电子设备包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的钓鱼邮件识别方法。
