[发明专利]一种基于链接特征分析的钓鱼邮件检测方法及系统

说明书

本发明提供了一种基于链接特征分析的钓鱼邮件检测方法及系统，包括：获取待检测邮件的内容中的链接；按照预设过滤方式对链接进行过滤处理，得到过滤后的链接；提取过滤后的链接的预设链接特征，对预设链接特征进行向量化处理，得到链接特征向量；通过预设分类模型对链接特征向量进行类型检测，检测得到待检测邮件是否为钓鱼邮件。在本发明中，进行预设链接特征提取时，提取的是过滤后的链接，减少了系统资源的浪费，提高了检测效率，另外，提取的预设链接特征能够很好的区分钓鱼邮件和非钓鱼邮件，所以在基于预设链接特征进行钓鱼邮件检测时，准确性好，识别度高，缓解了现有的钓鱼邮件检测方法检测效率低下，准确性差的技术问题。

技术领域

本发明涉及信息安全的技术领域，尤其是涉及一种基于链接特征分析的钓鱼邮件检测方法及系统。

背景技术

钓鱼邮件主要是在邮件中呈现具有误导性质的链接，该链接指向恶意网页，点击了邮件中的链接并输入密码或者隐私信息，就会造成隐私泄露。

现有技术在对钓鱼邮件进行检测时，先使用邮件解析器对邮件进行解析；利用正则表达式提取邮件中的网站链接；再次利用正则表达式算法提取链接中的相关特征；利用域名注册检索引擎，得到网站注册时间特征。运用这些所提取的文本特征(包括相关特征，网站注册时间特征)组成邮件的特征向量，输入到支持向量机模型(SVM)中进行钓鱼邮件的识别。

现有技术在提取网站链接，然后进行相关特征的提取时，提取的是所有链接。在实际的使用环境中，一封邮件可能存在着几十个特征相近的链接，所以这一过程就会造成重复检测从而使得系统资源的浪费；另外，提取的相关特征不仅在钓鱼邮件中存在，而且这些相关特征在正常邮件中也存在，所以当基于这些相关特征对钓鱼邮件进行识别时，往往容易产生误报。

综上，现有的钓鱼邮件检测方法存在效率低下，准确性差的技术问题。

发明内容

有鉴于此，本发明的目的在于提供一种基于链接特征分析的钓鱼邮件检测方法及系统，以缓解现有的钓鱼邮件检测方法检测效率低下，准确性差的技术问题。

第一方面，本发明实施例提供了一种基于链接特征分析的钓鱼邮件检测方法，包括：

获取待检测邮件的内容中的链接；

按照预设过滤方式对所述链接进行过滤处理，得到过滤后的链接；

提取所述过滤后的链接的预设链接特征，并对所述预设链接特征进行向量化处理，得到所述待检测邮件的链接特征向量，其中，所述预设链接特征用于区分钓鱼邮件和非钓鱼邮件；

通过预设分类模型对所述链接特征向量进行类型检测，检测得到所述待检测邮件是否为钓鱼邮件。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，获取待检测邮件的内容中的链接包括：

获取所述待检测邮件；

根据多用途互联网邮件扩展类型标准对所述待检测邮件进行解析，得到所述待检测邮件的发件人邮箱域名和所述待检测邮件的内容；

提取所述待检测邮件的内容中的链接，进而得到所述待检测邮件的内容中的链接。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，获取所述待检测邮件包括：

在网络流量中提取邮件数据流，其中，所述邮件数据流至少包括：POP协议的数据流，SMTP协议的数据流，IMAP协议的数据流；

对所述邮件数据流进行解析，进而得到邮件格式的待检测邮件；

或者，

在邮件格式的文件中读取所述待检测邮件。