[发明专利]一种基于链接特征分析的钓鱼邮件检测方法及系统

权利要求书

1.一种基于链接特征分析的钓鱼邮件检测方法，其特征在于，包括：

获取待检测邮件的内容中的链接；

按照预设过滤方式对所述链接进行过滤处理，得到过滤后的链接；

提取所述过滤后的链接的预设链接特征，并对所述预设链接特征进行向量化处理，得到所述待检测邮件的链接特征向量，其中，所述预设链接特征用于区分钓鱼邮件和非钓鱼邮件；

通过预设分类模型对所述链接特征向量进行类型检测，检测得到所述待检测邮件是否为钓鱼邮件；

其中，按照预设过滤方式对所述链接进行过滤处理包括：

在所述链接中过滤出与自身邮件白名单中的域名不同的域名所对应的链接，得到第一过滤后的链接；

在所述第一过滤后的链接中过滤出与预设域名白名单中的域名不同的域名所对应的链接，得到第二过滤后的链接，并将与所述预设域名白名单中的域名相同的域名保存至所述自身邮件白名单；

在所述第二过滤后的链接中过滤出与Alexa白名单中的域名不同的域名所对应的链接，得到第三过滤后的链接，并将与所述Alexa白名单中的域名相同的域名保存至所述自身邮件白名单；

在所述第三过滤后的链接中过滤出与发件人邮箱域名不同的域名所对应的链接，进而得到所述过滤后的链接，并将与所述发件人邮箱域名相同的域名和所述过滤后的链接的域名保存至所述自身邮件白名单，其中，所述发件人邮箱域名为根据多用途互联网邮件扩展类型标准对所述待检测邮件进行解析后，得到的所述待检测邮件的发件人邮箱域名；

其中，提取所述过滤后的链接的预设链接特征包括：

确定所述过滤后的链接的域名是否使用IP，得到是否使用IP的特征；

确定所述IP是否不属于预设局域网段IP，得到是否不属于所述预设局域网段IP的特征；

确定所述过滤后的链接的域名是否与文本描述的链接域名不符，得到是否与所述文本描述的链接域名不符的特征；

确定所述过滤后的链接的域名是否超过四级，得到是否超过四级的特征；

确定所述过滤后的链接的域名中字母分布频率与正常网站的域名中字母分布频率的差值是否大于预设阈值，得到是否大于预设阈值的特征；

确定所述过滤后的链接的域名是否与所述发件人邮箱域名不一致，且所述发件人邮箱域名是否为所述过滤后的链接的域名的子串，得到是否与所述发件人邮箱域名不一致且所述发件人邮箱域名是否为所述过滤后的链接的域名的子串的特征；

确定所述过滤后的链接是否存在预设网页脚本关键字和邮箱账号，得到是否存在所述预设网页脚本关键字和所述邮箱账号的特征。

2.根据权利要求1所述的方法，其特征在于，获取待检测邮件的内容中的链接包括：

获取所述待检测邮件；

根据多用途互联网邮件扩展类型标准对所述待检测邮件进行解析，得到所述待检测邮件的发件人邮箱域名和所述待检测邮件的内容；

提取所述待检测邮件的内容中的链接，进而得到所述待检测邮件的内容中的链接。

3.根据权利要求2所述的方法，其特征在于，获取所述待检测邮件包括：

在网络流量中提取邮件数据流，其中，所述邮件数据流至少包括：POP协议的数据流，SMTP协议的数据流，IMAP协议的数据流；

对所述邮件数据流进行解析，进而得到邮件格式的待检测邮件；

或者，

在邮件格式的文件中读取所述待检测邮件。

4.根据权利要求2所述的方法，其特征在于，提取所述待检测邮件的内容中的链接包括：

判断所述待检测邮件的格式类型；

如果所述格式类型为HTML格式类型，则根据HTML标准提取标签a中的链接和标签area中的链接，并将所述标签a中的链接和所述标签area中的链接作为所述待检测邮件的内容中的链接；

如果所述格式类型为文本格式类型，则采用正则表达式提取所述待检测邮件的内容中的链接。