[发明专利]一种邮件识别方法、装置、设备及存储介质

权利要求书

1.一种邮件识别方法，其特征在于，所述方法包括：

基于网络流量中的邮件流量，确定包含有待检测文档的待检测邮件；

判断所述待检测文档是否满足预设条件；其中，所述预设条件至少包括所述待检测文档中包含有图片；

当所述待检测文档满足预设条件时，提取所述待检测文档的第一特征信息；其中，所述第一特征信息至少包括图片特征信息；

基于所述第一特征信息，计算所述待检测邮件的第一恶意值；

当所述第一恶意值超过预设阈值时，识别所述待检测邮件为鱼叉邮件。

2.根据权利要求1所述的邮件识别方法，其特征在于，所述图片特征信息至少包括图片虚化特征信息。

3.根据权利要求1所述的邮件识别方法，其特征在于，所述基于网络流量中的邮件流量，确定包含有待检测文档的待检测邮件，包括：

根据邮件协议对网络流量进行筛选，得到所述邮件流量；

对所述邮件流量进行解析，获得所述邮件流量对应的邮件附件；

确定所述邮件附件的文件格式；

当所确定的文件格式为非压缩包格式时，将所述邮件附件确定为所述待检测文档；

当所确定的文件格式为压缩包格式时，对所述邮件附件进行解压，将得到的解压文件确定为所述待检测文档。

4.根据权利要求1所述的邮件识别方法，其特征在于，所述判断所述待检测文档是否满足预设条件，包括：

判断所述待检测文档的文件内容是否符合预设标准以及所述待检测文档是否包含宏信息；其中，所述待检测文档的文件内容包括文件大小、图片数量和文档页数；

当所述待检测文档的文件内容符合预设标准且所述待检测文档包含宏信息时，确定所述待检测文档满足预设条件；

当所述待检测文档的文件内容不符合预设标准或所述待检测文档不包含宏信息时，确定所述待检测文档不满足预设条件。

5.根据权利要求1所述的邮件识别方法，其特征在于，在所述提取所述待检测文档的第一特征信息之前，所述方法还包括：

将所述待检测文档转换得到第一文件；其中，第一文件表示利用超文本标记语言描述所述待检测文档的文件；

对所述第一文件进行内容分离，获得待检测文字和待检测图片。

6.根据权利要求5所述的邮件识别方法，其特征在于，所述第一特征信息还包括文本特征信息，所述提取所述待检测文档的第一特征信息，包括：

从所述待检测文字中，提取文本特征信息；

从所述待检测图片中，提取图片特征信息；

相应地，所述根据所述第一特征信息，计算所述待检测邮件的第一恶意值，包括：

对所述文本特征信息进行子恶意值计算，得到第一子恶意值；

对所述图片特征信息进行子恶意值计算，得到第二子恶意值；

基于所述第一子恶意值和所述第二子恶意值，计算所述待检测邮件的第一恶意值。

7.根据权利要求6所述的邮件识别方法，其特征在于，当所述图片特征信息包括图片虚化特征信息时，所述对所述图片虚化特征信息进行子恶意值计算，得到第二子恶意值，包括：

基于边缘检测算法对所述待检测图片中多个图片分别进行计算，得到多个待识别梯度直方图；其中，每一待识别梯度直方图用于指示所述多个图片中每一图片对应的图片虚化特征信息；

将所述多个待识别梯度直方图和恶意特征库进行匹配，得到匹配结果；其中，所述恶意特征库包含多个恶意图片中的恶意梯度直方图；

基于所述匹配结果，确定所述第二子恶意值。

8.根据权利要求6所述的邮件识别方法，其特征在于，所述基于所述第一子恶意值和所述第二子恶意值，计算所述待检测邮件的第一恶意值，包括：

确定所述第一子恶意值和所述第二子恶意值各自对应的预设权值；

根据所确定的预设权值以及所述第一子恶意值和所述第二子恶意值进行加权求和计算，得到所述第一恶意值。