邮件数据的分析方法、钓鱼邮件的检测方法及装置

技术领域

本发明涉及数据分析技术领域，具体涉及邮件数据的分析方法、钓鱼邮件的检测方法及装置。

背景技术

钓鱼邮件是指利用伪装的邮件，欺骗收件人将账号、口令等信息回复给指定的接收者，或引导收件人连接到特制的网页，这些网页通常会伪装成和真实网站一样，如银行或理财的网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等而被盗取。因此，就需要对邮件进行检测，以确定其是否为钓鱼邮件。

目前常采用的钓鱼邮件检测技术有：特征码技术以及沙箱技术。其中，所述的特征码技术是将邮件中的特征值与威胁情报中的内容进行匹对，确定邮件是否为钓鱼邮件。所述沙箱技术是模拟真实的用户操作，针对邮件中提供的附件或链接进行深度行为分析，确定邮件是否为恶意。

然而，由于钓鱼邮件是以特定的个体为目标，且攻击者会更换URL等信息，导致特征码失效，导致上述的特征码技术难以对不可预测的邮件进行有效检测。所述的沙箱技术的分析时间较长，通常一个文件需要数分钟甚至几十分钟，导致检测效率较低。

发明内容

有鉴于此，本发明实施例提供了一种邮件数据的分析方法、钓鱼邮件的检测方法及装置，以解决钓鱼邮件的检测准确性以及效率低的问题。

根据第一方面，本发明实施例提供了一种邮件数据的分析方法，包括：

获取多个待分析邮件的分析数据，所述分析数据包括邮件特征以及对应的传送代理；

基于所述邮件特征，确定所述传送代理之间的相似度；

利用所述待传送代理及所述传送代理之间的相似度建立传送代理图，所述传送代理图的节点为所述传送代理，所述传送代理图的边用于连接具有相似性的两个所述传送代理；

对所述传送代理图进行稳定度分析，确定非钓鱼邮件的分析数据，所述分析数据包括所述非钓鱼邮件的邮件特征及其对应的传送代理。

本发明实施例提供的邮件数据的分析方法，利用待分析邮件的邮件特征以及传送代理确定非钓鱼邮件的分析数据，在非钓鱼邮件的分析数据中将非钓鱼邮件的邮件特征及其对应的传送代理进行关联，从待分析邮件的来源进行分析，可以保证非钓鱼邮件的分析数据的准确性；且后续在对邮件进行检测时，只需要利用非钓鱼邮件的分析数据与邮件的分析数据进行对比分析，就可以快速地检测出该邮件是否为钓鱼邮件，提高了检测效率。

结合第一方面，在第一方面第一实施方式中，所述对所述传送代理图进行稳定度分析，确定非钓鱼邮件的分析数据，包括：

对所述传送代理图进行划分，得到至少两个传送代理子图；

对各个所述传送代理子图进行模块化计算，确定各个传送代理子图的模块化数值；

基于各个所述传送代理子图的模块化数值，确定非钓鱼邮件的分析数据。

本发明实施例提供的邮件数据的分析方法，通过对传送代理图进行划分，可以减少每次数据处理量，提高分析效率；同时对传送代理子图进行模块化计算以对传送代理子图进行稳定性确定，保证了非钓鱼邮件的分析结果的可靠性。

结合第一方面第一实施方式，在第一方面第二实施方式中，所述基于各个所述传送代理子图的模块化数值，确定非钓鱼邮件的分析数据，包括：

判断各个所述传送代理子图中是否存在所述模块化数值在目标范围内的第一传送代理子图；

当存在所述第一传送代理子图时，将所述第一传送代理子图对应的目标传送代理以及所述目标传送代理对应的目标邮件特征，确定为所述非钓鱼邮件的分析数据。

本发明实施例提供的邮件数据的分析方法，在第一传送代理子图的模块化数值在目标范围内，表示该第一传送代理子图可以直接确定为非钓鱼邮件的分析数据，即，直接利用目标范围与模块化数值进行大小比较，简化了分析过程，提高了分析效率。

结合第一方面第一实施方式，在第一方面第三实施方式中，所述基于各个所述传送代理子图的模块化数值，确定非钓鱼邮件的分析数据，还包括：

判断各个所述传送代理子图中是否存在所述模块化数值在划分范围内的第二传送代理子图；

当存在所述第二传送代理子图时，对所述第二传送代理子图进行再次划分。

本发明实施例提供的邮件数据的分析方法，在划分范围内的第二传送代理子图可以再次进行划分，以保证分析结果的准确性。

结合第一方面第一实施方式，在第一方面第四实施方式中，所述基于各个所述传送代理子图的模块化数值，确定非钓鱼邮件的分析数据，还包括：

判断各个所述传送代理子图中是否存在所述模块化数值在丢弃范围内的第三传送代理子图；

当存在所述第三传送代理子图时，丢弃所述第三传送代理子图。

本发明实施例提供的邮件数据的分析方法，在丢弃范围内的第三传送代理子图难以通过划分得到在模块化数值在目标范围内的传送代理子图，将第三传送代理子图丢弃，可以减少数据处理量，提高分析效率。

结合第一方面第一实施方式至第四实施方式中任一项，在第一方面第五实施方式中，所述对所述传送代理图进行划分，得到至少两个传送代理子图，包括：

计算所述传送代理图中各个节点的介数中心性；

在所述传送代理图中删除所述节点中心性最高的节点及其相连的边，得到至少两个所述传送代理子图。

本发明实施例提供的邮件数据的分析方法，由于介数中心性最高的节点表示大部分节点的最短路径均经过该节点，从该节点对传送代理图进行划分，可以实现在保证准确性的基础上，得到两个传送代理子图。

结合第一方面，在第一方面第六实施方式中，所述基于所述邮件特征，确定所述传送代理之间的相似度，包括：

统计任意两个所述传送代理对应的相同邮件特征的数量；

利用所述相同邮件特征的数量，确定任意两个所述传送代理之间的相似度。

本发明实施例提供的邮件数据的分析方法，直接利用相同邮件特征的数量确定任意两个传送代理之间的相似度，计算过程简单，可以提高分析效率。

根据第二方面，本发明实施例还提供了一种钓鱼邮件的检测方法，包括：

获取待检测邮件的分析数据，所述分析数据包括邮件特征以及对应的传送代理；

利用所述邮件特征查询非钓鱼邮件的分析数据，确定与所述邮件特征对应的目标传送代理，所述非钓鱼邮件的分析数据包括非钓鱼邮件的目标邮件特征与目标传送代理的对应关系；

基于所述待检测邮件对应的传送代理以及所述目标传送代理，确定所述待检测邮件是否为钓鱼邮件。

本发明实施例提供的钓鱼邮件的检测方法，利用待分析邮件的邮件特征以及传送代理确定非钓鱼邮件的分析数据，在非钓鱼邮件的分析数据中将非钓鱼邮件的邮件特征及其对应的传送代理进行关联，从待分析邮件的来源进行分析，可以保证非钓鱼邮件的分析数据的准确性；在对邮件进行检测时，只需要利用非钓鱼邮件的分析数据与邮件的分析数据进行对比分析，就可以快速地检测出该邮件是否为钓鱼邮件，提高了检测效率。

根据第三方面，本发明实施例还提供了一种邮件数据的分析装置，包括：

第一获取模块，用于获取多个待分析邮件的分析数据，所述分析数据包括邮件特征以及对应的传送代理；

第一确定模块，用于基于所述邮件特征，确定所述传送代理之间的相似度；

建立模块，用于利用所述待传送代理及所述传送代理之间的相似度建立传送代理图，所述传送代理图的节点为所述传送代理，所述传送代理图的边用于连接具有相似性的两个所述传送代理；

分析模块，用于对所述传送代理图进行稳定度分析，确定非钓鱼邮件的分析数据，所述分析数据包括所述非钓鱼邮件的邮件特征及其对应的传送代理。

本发明实施例提供的邮件数据的分析装置，利用待分析邮件的邮件特征以及传送代理确定非钓鱼邮件的分析数据，在非钓鱼邮件的分析数据中将非钓鱼邮件的邮件特征及其对应的传送代理进行关联，从待分析邮件的来源进行分析，可以保证非钓鱼邮件的分析数据的准确性；且后续在对邮件进行检测时，只需要利用非钓鱼邮件的分析数据与邮件的分析数据进行对比分析，就可以快速地检测出该邮件是否为钓鱼邮件，提高了检测效率。

根据第四方面，本发明实施例还提供了一种钓鱼邮件的检测装置，包括：

第二获取模块，用于获取待检测邮件的分析数据，所述分析数据包括邮件特征以及对应的传送代理；

第二确定模块，用于利用所述邮件特征查询非钓鱼邮件的分析数据，确定与所述邮件特征对应的目标传送代理，所述非钓鱼邮件的分析数据包括非钓鱼邮件的目标邮件特征与目标传送代理的对应关系；

检测模块，用于基于所述待检测邮件对应的传送代理以及所述目标传送代理，确定所述待检测邮件是否为钓鱼邮件。

本发明实施例提供的钓鱼邮件的检测装置，利用待分析邮件的邮件特征以及传送代理确定非钓鱼邮件的分析数据，在非钓鱼邮件的分析数据中将非钓鱼邮件的邮件特征及其对应的传送代理进行关联，从待分析邮件的来源进行分析，可以保证非钓鱼邮件的分析数据的准确性；在对邮件进行检测时，只需要利用非钓鱼邮件的分析数据与邮件的分析数据进行对比分析，就可以快速地检测出该邮件是否为钓鱼邮件，提高了检测效率。

根据第五方面，本发明实施例提供了一种电子设备，包括：存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器中存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行第一方面或者第一方面的任意一种实施方式中所述的邮件数据的分析方法，或执行第二方面所述的钓鱼邮件的检测方法。

根据第六方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行第一方面或者第一方面的任意一种实施方式中所述的邮件数据的分析方法，或执行第二方面所述的钓鱼邮件的检测方法。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的邮件数据的分析方法的流程图；

图2是根据本发明实施例的传送代理图的示意图；

图3是根据本发明实施例的邮件数据的分析方法的流程图；

图4a-图4b是根据本发明实施例的传送代理图划分前后的示意图；

图5是根据本发明实施例的邮件数据的分析方法的流程图；

图6是根据本发明实施例的钓鱼邮件的检测方法的流程图；

图7是根据本发明实施例的邮件数据的分析装置的结构框图；

图8是根据本发明实施例的钓鱼邮件的检测装置的结构框图；

图9是本发明实施例提供的电子设备的硬件结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

根据本发明实施例，提供了一种邮件数据的分析方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

在本实施例中提供了一种邮件数据的分析方法，可用于上述的电子设备，如手机、平板电脑等，图1是根据本发明实施例的邮件数据的分析方法的流程图，如图1所示，该流程包括如下步骤：

S11，获取多个待分析邮件的分析数据。

其中，所述分析数据包括邮件特征以及对应的传送代理。

电子设备可以从邮件日志信息中获取到各个待分析邮件的分析数据，在邮件日志信息中记录有各个待分析邮件的传送代理(Mail Transfer Agent，简称为MTA)，MTA可以用各个MTA的IP地址表示。

待分析邮件的邮件特征可以是通过对邮件正文进行哈希值计算得到的，也可以是对各个待分析邮件的发件人以及收件人确定的等等，在此对邮件特征的来源并不做任何限制，只需保证电子设备能够获取到各个待分析邮件的分析数据即可。

需要说明的是，各个待分析邮件的邮件特征与传送代理是对应的。

S12，基于邮件特征，确定传送代理之间的相似度。

对于任意两个传送代理而言，就对应有至少一个邮件特征组，每个邮件特征组包括两个邮件特征。电子设备利用各个邮件特征组确定两个传送代理之间的相似度，例如，当两个MTA发送了同样特征的邮件，并达到一定次数，就可以认为它们具有一定的相似性。

关于该步骤具体将在下文中进行详细描述。

S13，利用待传送代理及传送代理之间的相似度建立传送代理图。

其中，所述传送代理图的节点为传送代理，所述传送代理图的边用于连接具有相似性的两个传送代理。

传送代理图中的各个节点为上述S11中的各个传送代理，通过各个传送代理之间的相似度将各个传送代理连接。所形成的传送代理图可以如图2所示，图2中节点1-5表示5个传送代理，通过比较任意两个传送代理之间的相似度，若相似度高于预设值，则用边将这两个传送代理连接。

S14，对传送代理图进行稳定度分析，确定非钓鱼邮件的分析数据。

其中，所述分析数据包括所述非钓鱼邮件的邮件特征及其对应的传送代理。

所述的稳定度分析用于确定传送代理图中的各个传送代理及其对应的邮件特征是否属于相同的类型，即是否属于钓鱼邮件的分析数据，还是属于非钓鱼邮件的分析数据。即，所述的稳定度分析也可以理解为社区归属确定的方式。

关于该步骤具体将在下文中进行详细描述。

本实施例提供的邮件数据的分析方法，利用待分析邮件的邮件特征以及传送代理确定非钓鱼邮件的分析数据，在非钓鱼邮件的分析数据中将非钓鱼邮件的邮件特征及其对应的传送代理进行关联，从待分析邮件的来源进行分析，可以保证非钓鱼邮件的分析数据的准确性；且后续在对邮件进行检测时，只需要利用非钓鱼邮件的分析数据与邮件的分析数据进行对比分析，就可以快速地检测出该邮件是否为钓鱼邮件，提高了检测效率。

在本实施例中提供了一种邮件数据的分析方法，可用于上述的电子设备，如手机、平板电脑等，图3是根据本发明实施例的邮件数据的分析方法的流程图，如图3所示，该流程包括如下步骤：

S21，获取多个待分析邮件的分析数据。

其中，所述分析数据包括邮件特征以及对应的传送代理。

详细请参见图1所示实施例的S11，在此不再赘述。

S22，基于邮件特征，确定传送代理之间的相似度。

详细请参见图1所示实施例的S12，在此不再赘述。

S23，利用待传送代理及传送代理之间的相似度建立传送代理图。

其中，所述传送代理图的节点为传送代理，所述传送代理图的边用于连接具有相似性的两个传送代理。

详细请参见图1所示实施例的S13，在此不再赘述。

S24，对传送代理图进行稳定度分析，确定非钓鱼邮件的分析数据。

其中，所述分析数据包括所述非钓鱼邮件的邮件特征及其对应的传送代理。

具体地，上述S24可以包括如下步骤：

S241，对传送代理图进行划分，得到至少两个传送代理子图。

电子设备对传送代理图的划分，可以利用聚类的思想对其进行划分；也可以用社区划分的思想对其进行划分等等，在此对其具体划分形式不做任何限制，具体可以根据实际情况进行相应的设置。电子设备在对传送代理图进行划分后，得到至少两个传送代理子图。

在本实施例的一种可选实施方式中，上述S241可以包括如下步骤：

(1)计算传送代理图中各个节点的介数中心性。

电子设备通过对传送代理图的各个节点进行介数中心性的计算，所述的介数中心性用于表示一个节点在其他节点间最小路径中出现的比例。

(2)在传送代理图中删除所述节点中心性最高的节点及其相连的边，得到至少两个传送代理子图。

电子设备通过比较各个节点的介数中心性，确定出介数中心性最大的节点。在确定出介数中心性最大的节点之后，电子设备将介数中心性最大的节点及与其连接的边从传送代理图中删除，得到至少两个传送代理子图。

例如，图4a示出了传送代理图的一个示意图，经过介数中心性的计算，电子设备确定图4a中的节点A为介数中心性最大的节点。电子设备将节点A以及与其连接边从该传送代理图中删除，即可得到如图4b所示的两个传送代理子图。

由于介数中心性最高的节点表示大部分节点的最短路径均经过该节点，从该节点对传送代理图进行划分，可以实现在保证准确性的基础上，得到两个传送代理子图。

S242，对各个传送代理子图进行模块化计算，确定各个传送代理子图的模块化数值。

其中，模块化计算是一种衡量网络中社区稳定度的方法。电子设备对上述S241划分得到的各个传送代理子图进行模块化计算，即可确定出各个传送代理子图的模块化数值。此处，对应于每个传送代理子图就对应有一个模块化数值。

S243，基于各个传送代理子图的模块化数值，确定非钓鱼邮件的分析数据。

电子设备事先确定有不同处理方式对应的阈值范围，在确定出各个传送代理子图的模块化数值之后，将该数值与各个阈值范围进行比较，从而确定该传送代理子图的处理方式。其中，所述的处理方式包括提取传送代理子图的节点对应的传送代理及其对应的邮件特征，将其作为非钓鱼邮件的分析数据；以及，对传送代理子图再次进行划分；以及，丢弃传送代理子图。

其中，下文所述的各个阈值范围可以根据实际情况进行相应的设置，在此对其具体范围值并不做任何限定。

在本实施例的一些可选实施方式中，上述S243可以包括如下步骤：

(1)判断各个传送代理子图中是否存在模块化数值在目标范围内的第一传送代理子图。

所述的目标范围，表示该传送代理子图中的节点及其对应的邮件特征为非钓鱼邮件的分析数据。电子设备可以将各个传送代理子图的模块化数值与目标范围进行比较，确定出在目标范围内的第一传送代理子图。当不存在第一传送代理子图时，可以继续进行其他阈值范围的判断。

(2)当存在第一传送代理子图时，将第一传送代理子图对应的目标传送代理以及目标传送代理对应的目标邮件特征，确定为非钓鱼邮件的分析数据。

如上文所述，此时电子设备可以将第一传送代理子图对应的目标传送代理以及目标传送代理对应的目标邮件特征，将其确定为非钓鱼邮件的分析数据。其中，非钓鱼邮件的分析数据用于表示目标传送代理与目标邮件特征之间的对应关系。此处需要说明的是，一个目标邮件特征可以对应一个目标传送代理，或两个目标传送代理，或多个目标传送代理，在此对其并无任何限制。

可选地，非钓鱼邮件的分析数据可以采用数据表的形式进行表示，也可以采用其他方式进行表示等等。其中，非钓鱼邮件的分析数据如下表所示：

表1非钓鱼邮件的分析数据

在第一传送代理子图的模块化数值在目标范围内，表示该第一传送代理子图可以直接确定为非钓鱼邮件的分析数据，即，直接利用目标范围与模块化数值进行大小比较，简化了分析过程，提高了分析效率。

(3)判断各个传送代理子图中是否存在模块化数值在划分范围内的第二传送代理子图。

电子设备依次将各个传送代理子图的模块化数值与划分范围进行比较，确定第二传送代理子图。当不存在第二传送代理子图时，电子设备可以进行其他阈值范围的比较判断。

(4)当存在第二传送代理子图时，对第二传送代理子图进行再次划分。

电子设备在确定第二传送代理子图时，表示此时需要对第二传送代理子图继续进行划分。具体的划分方式与传动代理图的划分方式相同，具体可以参见上文所述，在此不再赘述。

(5)判断各个传送代理子图中是否存在模块化数值在丢弃范围内的第三传送代理子图。

电子设备依次将各个传送代理子图的模块化数值与丢弃范围进行比较，确定第三传送代理子图。当不存在第三传送代理子图时，电子设备可以进行其他阈值范围的比较判断。

(6)当存在第三传送代理子图时，丢弃第三传送代理子图。

电子设备在确定出存在第三传送代理子图时，直接将第三传送代理子图丢弃，表示其对应非钓鱼邮件的分析数据的确定并无价值。

在丢弃范围内的第三传送代理子图难以通过划分得到在模块化数值在目标范围内的传送代理子图，将第三传送代理子图丢弃，可以减少数据处理量，提高分析效率。

作为本实施例的一个具体实施方式，目标范围确定为小于0.1，划分范围确定为0.3与0.7之间，丢弃范围为0.1与0.3之间以及大于0.7。具体地，对于模块性数值小于0.1的MTA组，电子设备会将其写入非钓鱼邮件的分析数据中。介于0.3到0.7的传送代理子图，将基于介数中心性进行再次划分。同样地，模块性数值大于0.7的传送代理子图也不会被进一步分割，因为分割出小于0.1的组几率很小，而模块化大于0.1小于0.3的MTA组代表这个组里的节点关系不紧密，数值较小，也没有再次分组的意义，因此将被舍弃。

本实施例提供的邮件数据的分析方法，通过对传送代理图进行划分，可以减少每次数据处理量，提高分析效率；同时对传送代理子图进行模块化计算以对传送代理子图进行稳定性确定，保证了非钓鱼邮件的分析结果的可靠性。

在本实施例中提供了一种邮件数据的分析方法，可用于上述的电子设备，如手机、平板电脑等，图5是根据本发明实施例的邮件数据的分析方法的流程图，如图5所示，该流程包括如下步骤：

S31，获取多个待分析邮件的分析数据。

其中，所述分析数据包括邮件特征以及对应的传送代理。

详细请参见图3所示实施例的S21，在此不再赘述。

S32，基于邮件特征，确定传送代理之间的相似度。

具体地，上述S32可以包括如下步骤：

S321，统计任意两个传送代理对应的相同邮件特征的数量。

如表2所示，表2示出了各个邮件特征及其对应的传送代理，此处的传送代理用传送代理的IP地址表示：

表2各个邮件特征及其对应的传送代理

电子设备可以基于表1所示的邮件特征及其对应的MTA IP，统计任意两个传送代理对应的相同邮件特征的数量。即，通过对比相同的邮件特征，确定MTA间的相似度。

例如，每当两个传送代理发送一份相同邮件特征的邮件，就是为相似度分值加一。

S322，利用相同邮件特征的数量，确定任意两个传送代理之间的相似度。

对应于表2，表3示出了两个MTA之间的相似度：

表3 MTA之间的相似度

在后续的传送代理图的建立过程中，若两个传送代理之间的相似度大于10，则将这两个传送代理用边连接。

S33，利用待传送代理及传送代理之间的相似度建立传送代理图。

其中，所述传送代理图的节点为传送代理，所述传送代理图的边用于连接具有相似性的两个传送代理。

详细请参见图3所示实施例的S23，在此不再赘述。

S34，对传送代理图进行稳定度分析，确定非钓鱼邮件的分析数据。

其中，所述分析数据包括所述非钓鱼邮件的邮件特征及其对应的传送代理。

详细请参见图3所示实施例的S24，在此不再赘述。

本实施例提供的邮件数据的分析方法，利用待分析邮件的邮件特征以及传送代理确定非钓鱼邮件的分析数据，在非钓鱼邮件的分析数据中将非钓鱼邮件的邮件特征及其对应的传送代理进行关联，从待分析邮件的来源进行分析，可以保证非钓鱼邮件的分析数据的准确性；在对邮件进行检测时，只需要利用非钓鱼邮件的分析数据与邮件的分析数据进行对比分析，就可以快速地检测出该邮件是否为钓鱼邮件，提高了检测效率。

根据本发明实施例，提供了一种钓鱼邮件的检测方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

在本实施例中提供了一种钓鱼邮件的检测方法，可用于上述的电子设备，如手机、平板电脑等，图6是根据本发明实施例的邮件数据的分析方法的流程图，如图6所示，该流程包括如下步骤：

S41，获取待检测邮件的分析数据。

其中，所述分析数据包括邮件特征以及对应的传送代理。

待检测邮件的分析数据的获取方式与上述实施例中待分析邮件的分析数据的获取方式类似，均可以从待检测邮件的邮件日志中获取到。

S42，利用邮件特征查询非钓鱼邮件的分析数据，确定与邮件特征对应的目标传送代理。

其中，所述非钓鱼邮件的分析数据包括非钓鱼邮件的目标邮件特征与目标传送代理的对应关系。

电子设备可以利用待检测邮件的邮件特征，在非钓鱼邮件的分析数据中进行查询，确定出与待检测邮件的邮件特征对应的目标传送代理。其中，确定出的目标传送代理可以是一个，两个或多个，具体取决于非钓鱼邮件中的目标邮件特征所对应的传送代理的数量，在此对其并不做任何限制。

在本实施例的一些可选实施方式中，所述的非钓鱼邮件的分析数据可以是根据上述任一个实施例中所述的邮件数据的分析方法确定的。

S43，基于待检测邮件对应的传送代理以及目标传送代理，确定待检测邮件是否为钓鱼邮件。

电子设备将待检测邮件对应的传送代理与上述S42中确定出的目标传送代理进行比较，确定目标传送代理中是否存在与所述待检测邮件对应的传送代理相同的传送代理。若存在相同的，则确定待检测邮件为非钓鱼邮件；若不存在相同的，则确定待检测邮件为钓鱼邮件。

例如，待检测邮件的邮件特征为”9a3903dac93609f01ece2103c7cd93701f302a4d”，结合表1，若该邮件相关的MTA不在”1.1.1.1、2.2.2.2、3.3.3.3”中，那么就认为该邮件是钓鱼邮件。

本实施例提供的钓鱼邮件的检测方法，利用待分析邮件的邮件特征以及传送代理确定非钓鱼邮件的分析数据，在非钓鱼邮件的分析数据中将非钓鱼邮件的邮件特征及其对应的传送代理进行关联，从待分析邮件的来源进行分析，可以保证非钓鱼邮件的分析数据的准确性；在对邮件进行检测时，只需要利用非钓鱼邮件的分析数据与邮件的分析数据进行对比分析，就可以快速地检测出该邮件是否为钓鱼邮件，提高了检测效率。

在本实施例中还提供了一种邮件数据的分析装置，或者钓鱼邮件的检测装置。该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

本实施例提供一种邮件数据的分析装置，如图7所示，包括：

第一获取模块51，用于获取多个待分析邮件的分析数据，所述分析数据包括邮件特征以及对应的传送代理；

第一确定模块52，用于基于所述邮件特征，确定所述传送代理之间的相似度；

建立模块53，用于利用所述待传送代理及所述传送代理之间的相似度建立传送代理图，所述传送代理图的节点为所述传送代理，所述传送代理图的边用于连接具有相似性的两个传送代理；

分析模块54，用于对所述传送代理图进行稳定度分析，确定非钓鱼邮件的分析数据，所述分析数据包括所述非钓鱼邮件的邮件特征及其对应的传送代理。

本实施例提供的邮件数据的分析装置，利用待分析邮件的邮件特征以及传送代理确定非钓鱼邮件的分析数据，在非钓鱼邮件的分析数据中将非钓鱼邮件的邮件特征及其对应的传送代理进行关联，从待分析邮件的来源进行分析，可以保证非钓鱼邮件的分析数据的准确性；且后续在对邮件进行检测时，只需要利用非钓鱼邮件的分析数据与邮件的分析数据进行对比分析，就可以快速地检测出该邮件是否为钓鱼邮件，提高了检测效率。

本实施例提供一种钓鱼邮件的检测装置，如图8所示，包括：

第二获取模块61，用于获取待检测邮件的分析数据，所述分析数据包括邮件特征以及对应的传送代理的地址；

第二确定模块62，用于利用所述邮件特征查询非钓鱼邮件的分析数据，确定与所述邮件特征对应的目标传送代理，所述非钓鱼邮件的分析数据包括非钓鱼邮件的目标邮件特征与目标传送代理的对应关系；

检测模块63，用于基于所述待检测邮件对应的传送代理以及所述目标传送代理，确定所述待检测邮件是否为钓鱼邮件。

本实施例中的邮件数据的分析装置，或钓鱼邮件的检测装置是以功能单元的形式来呈现，这里的单元是指ASIC电路，执行一个或多个软件或固定程序的处理器和存储器，和/或其他可以提供上述功能的器件。

上述各个模块的更进一步的功能描述与上述对应实施例相同，在此不再赘述。

本发明实施例还提供一种电子设备，具有上述图7所示的邮件数据的分析装置，或图8所示的钓鱼邮件的检测装置。

请参阅图9，图9是本发明可选实施例提供的一种电子设备的结构示意图，如图9所示，该电子设备可以包括：至少一个处理器71，例如CPU(Central Processing Unit，中央处理器)，至少一个通信接口73，存储器74，至少一个通信总线72。其中，通信总线72用于实现这些组件之间的连接通信。其中，通信接口73可以包括显示屏(Display)、键盘(Keyboard)，可选通信接口73还可以包括标准的有线接口、无线接口。存储器74可以是高速RAM存储器(Random Access Memory，易挥发性随机存取存储器)，也可以是非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。存储器74可选的还可以是至少一个位于远离前述处理器71的存储装置。其中处理器71可以结合图7或8所描述的装置，存储器74中存储应用程序，且处理器71调用存储器74中存储的程序代码，以用于执行上述任一方法步骤。

其中，通信总线72可以是外设部件互连标准(peripheral componentinterconnect，简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture，简称EISA)总线等。通信总线72可以分为地址总线、数据总线、控制总线等。为便于表示，图9中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

其中，存储器74可以包括易失性存储器(英文：volatile memory)，例如随机存取存储器(英文：random-access memory，缩写：RAM)；存储器也可以包括非易失性存储器(英文：non-volatile memory)，例如快闪存储器(英文：flash memory)，硬盘(英文：hard diskdrive，缩写：HDD)或固态硬盘(英文：solid-state drive，缩写：SSD)；存储器74还可以包括上述种类的存储器的组合。

其中，处理器71可以是中央处理器(英文：central processing unit，缩写：CPU)，网络处理器(英文：network processor，缩写：NP)或者CPU和NP的组合。

其中，处理器71还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文：application-specific integrated circuit，缩写：ASIC)，可编程逻辑器件(英文：programmable logic device，缩写：PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文：complex programmable logic device，缩写：CPLD)，现场可编程逻辑门阵列(英文：field-programmable gate array，缩写：FPGA)，通用阵列逻辑(英文：generic arraylogic,缩写：GAL)或其任意组合。

可选地，存储器74还用于存储程序指令。处理器71可以调用程序指令，实现如本申请图1、3以及5实施例中所示的邮件数据的分析方法，或图6实施例中所示的钓鱼邮件的检测方法。

本发明实施例还提供了一种非暂态计算机存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中的邮件数据的分析方法，或钓鱼邮件的检测方法。其中，所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)、随机存储记忆体(Random Access Memory，RAM)、快闪存储器(FlashMemory)、硬盘(Hard Disk Drive，缩写：HDD)或固态硬盘(Solid-State Drive，SSD)等；所述存储介质还可以包括上述种类的存储器的组合。

虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。