一种钓鱼邮件识别方法、装置、设备及介质

技术领域

本申请涉及网络安全领域，特别涉及一种钓鱼邮件识别方法、装置、设备及介质。

背景技术

现在随着企业对安全防护的重视，常规的利用应用漏洞的攻击手法越来越难成功，而钓鱼邮件攻击则是目前常用的绕过正常防护措施攻进企业内网的攻击手段，邮件系统是企业内网和外网联通的一条路径，攻击者可以通过钓鱼邮件的方式借助这条路径攻进企业内网。

具体地，由于企业内网用户往往不会点击发件人为外网用户的邮件，钓鱼邮件攻击的一类常见方式为通过伪装成其他企业用户(如企业某管理部门)的邮箱向大量企业内网用户发送邮件，只要有一名内网用户信以为真点击恶意链接或打开恶意附件，就可以攻入企业内网。目前，对于伪造成正常公文或其他邮件的钓鱼邮件攻击的防范措施仍然比较有限，无法精确的识别出钓鱼邮件，容易使公司资产造成损失。

发明内容

有鉴于此，本申请的目的在于提供一种钓鱼邮件识别方法、装置、设备及介质，能够准确的对钓鱼邮件进行识别，保障公司财产安全。其具体方案如下：

一方面，本申请提供了一种钓鱼邮件识别方法，包括：

获取第一身份标识；

在发送第一邮件时，根据所述第一邮件和所述第一身份标识，生成第二邮件；所述第二邮件包括所述第一身份标识；

向收件人邮箱发送所述第二邮件，以便所述收件人邮箱判断所述第一身份标识和预存的第二身份标识是否一致，若是，则确定所述第二邮件不是钓鱼邮件；否则，确定所述第二邮件为钓鱼邮件。

具体地，根据所述第一邮件和所述第一身份标识，生成第二邮件之前，所述方法还包括：

判断所述第一邮件的邮件信息是否满足添加身份标识条件，若是，则执行所述根据所述第一邮件和所述第一身份标识，生成第二邮件的步骤。

具体地，所述添加身份标识条件包括所述收件人邮箱的数量大于预设阈值。

具体地，所述获取第一身份标识，包括：

根据当前日期确定所述第一身份标识。

另一方面，本申请实施例还提供了一种钓鱼邮件识别装置，包括：

获取单元，用于获取第一身份标识；

生成单元，用于在发送第一邮件时，根据所述第一邮件和所述第一身份标识，生成第二邮件；所述第二邮件包括所述第一身份标识；

发送单元，用于向收件人邮箱发送所述第二邮件，以便所述收件人邮箱判断所述第一身份标识和预存的第二身份标识是否一致，若是，则确定所述第二邮件不是钓鱼邮件；否则，确定所述第二邮件为钓鱼邮件。

具体地，所述装置还包括：

判断单元，用于判断所述第一邮件的邮件信息是否满足添加身份标识条件，若是，则执行所述根据所述第一邮件和所述第一身份标识，生成第二邮件的步骤。

具体地，所述添加身份标识条件包括所述收件人邮箱的数量大于预设阈值。

具体地，所述获取单元用于：

根据当前日期确定所述第一身份标识。

另一方面，本申请实施例还提供了一种计算机设备，所述计算机设备包括处理器以及存储器：

所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；

所述处理器用于根据所述程序代码中的指令执行所述的钓鱼邮件识别方法。

另一方面，本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序，所述计算机程序用于执行所述的钓鱼邮件识别方法。

本申请实施例提供了一种钓鱼邮件识别方法、装置、设备及介质，获取第一身份标识；在发送第一邮件时，根据第一邮件和第一身份标识，生成第二邮件，第二邮件包括第一身份标识；向收件人邮箱发送第二邮件，以便收件人邮箱判断第一身份标识和预存的第二身份标识是否一致，若是，则确定第二邮件不是钓鱼邮件；否则，确定第二邮件为钓鱼邮件。可见，在本申请实施例中，邮件发送方可以在第一邮件上添加第一身份标识，邮件接收方可以将第一身份标识与预存的第二身份标识进行对比，若一致，说明邮件发送方为内网用户，第二邮件不是钓鱼邮件，能够准确的对钓鱼邮件进行识别，保障公司财产安全。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1示出了本申请实施例提供的一种钓鱼邮件识别方法的流程示意图；

图2为本申请实施例提供的一种钓鱼邮件识别装置的结构框图；

图3为本申请实施例提供的一种计算机设备的结构图。

具体实施方式

为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图对本申请的具体实施方式做详细的说明。

在下面的描述中阐述了很多具体细节以便于充分理解本申请，但是本申请还可以采用其它不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本申请内涵的情况下做类似推广，因此本申请不受下面公开的具体实施例的限制。

正如背景技术所描述的，由于企业内网用户往往不会点击发件人为外网用户的邮件，钓鱼邮件攻击的一类常见方式为通过伪装成其他企业用户(如企业某管理部门)的邮箱向大量企业内网用户发送邮件，只要有一名内网用户信以为真点击恶意链接或打开恶意附件，就可以攻入企业内网。目前，对于伪造成正常公文或其他邮件的钓鱼邮件攻击的防范措施仍然比较有限，无法精确的识别出钓鱼邮件，容易使公司资产造成损失。

本申请实施例提供了一种钓鱼邮件识别方法、装置、设备及介质，获取第一身份标识；在发送第一邮件时，根据第一邮件和第一身份标识，生成第二邮件，第二邮件包括第一身份标识；向收件人邮箱发送第二邮件，以便收件人邮箱判断第一身份标识和预存的第二身份标识是否一致，若是，则确定第二邮件不是钓鱼邮件；否则，确定第二邮件为钓鱼邮件。可见，在本申请实施例中，邮件发送方可以在第一邮件上添加第一身份标识，邮件接收方可以将第一身份标识与预存的第二身份标识进行对比，若一致，说明邮件发送方为内网用户，第二邮件不是钓鱼邮件，能够准确的对钓鱼邮件进行识别，保障公司财产安全。

为了便于理解，下面结合附图对本申请实施例提供的一种钓鱼邮件识别方法、装置、设备及介质进行详细的说明。

参考图1所示，为本申请实施例提供的一种钓鱼邮件识别方法的流程示意图，该方法可以包括以下步骤。

S101，获取第一身份标识。

在本申请实施例中，该方法可以应用于发送邮件的客户端，发送邮件的客户端可以获取第一身份标识，通过第一身份标识可以判断出邮件发送方是否为内网用户，第一身份标识比如可以为由数位数字构成的随机身份码。

具体地，如果邮件发送方为内网用户，获取第一身份标识，可以具体为，根据当前日期确定第一身份标识。对于每一天可以设置不同的第一身份标识，比如，每天可以随机生成当天的身份码，作为第一身份标识。更进一步的，对于不同的时间段，也可以设置不同的第一身份标识，以增加外网用户获取到第一身份标识的难度，避免第一身份标识泄露。具体地，如果邮件发送方为外网用户，则第一身份标识可能为错误的身份标识。

具体地，可以利用钓鱼邮件识别系统执行该方法，该系统包括随机身份码生成模块、通知模块和邮件监控模块，随机身份码生成模块可以每日生成和之前不同的由数位随机数构成的随机身份码。通知模块可以将随机身份码通知给内网用户，邮件监控模块可以针对收件人超过预先设置的数量的邮件，自动在其中插入随机身份码。

S102，在发送第一邮件时，根据第一邮件和第一身份标识，生成第二邮件。

在本申请实施例中，在向收件人发送第一邮件时，可以在第一邮件中添加第一身份标识，从而生成第二邮件，这样，第二邮件中可以具有第一身份标识，以便将第一邮件和第一身份标识都发送至收件方，第一邮件为原始的邮件内容，第一身份标识用于后续判断邮件发送方是否为外网用户，如果为外网用户，则第一邮件则极有可能为钓鱼邮件。

在一种可能的实现方式中，在发送每一封第一邮件时，都可以添加第一身份标识，对每封邮件都进行钓鱼邮件的验证，避免遗漏钓鱼邮件，保障公司资产安全。

在另一种可能的实现方式中，在根据第一邮件和第一身份标识，生成第二邮件之前，还可以判断是否需要添加第一身份标识。

具体地，在发送第一邮件时，可以判断第一邮件的邮件信息是否满足添加身份标识条件，第一邮件的邮件信息可以为邮件的收件人数量、是否具有链接、收件人所在部门等，如果满足添加身份标识条件，则可以根据第一邮件和第一身份标识，生成第二邮件，从而完成身份标识的添加，这样，对于符合添加身份标识条件的第一邮件添加第一身份标识，对于不满足条件的则不添加，不仅能够有效识别钓鱼邮件，还能够提高邮件发送效率，提高办公效率。

具体地，添加身份标识条件可以包括收件人邮箱的数量大于预设阈值，也就是说，在第一邮件的收件人邮箱数量大于预设阈值时，可以在第一邮件中添加第一身份标识，得到第二邮件，如果收件人邮箱数量小于或等于预设阈值，则不必添加第一身份标识，直接将第一邮件发送至收件方。

当然，添加身份标识条件也可以为收件人所在部门为财务部门等重点部门等，还可以为发件方在一天中的发邮件次数较多时，进行第一身份标识的添加，对于其它添加身份标识的条件在此不做具体限定。

S103，向收件人邮箱发送第二邮件，以便收件人邮箱判断第一身份标识和预存的第二身份标识是否一致，若是，则确定第二邮件不是钓鱼邮件；否则，确定第二邮件为钓鱼邮件。

在本申请实施例中，可以向收件人的邮箱发送第二邮件，收件人邮箱存储有第二身份标识，第二身份标识为能够表明为内网用户的身份标识，收件人邮箱可以将第二邮件中的第一身份标识与自己预存的第二身份标识进行对比，如果第一身份标识与第二身份标识相同，则说明第一身份标识正确，邮件发送方为内网用户，只有内网用户才会知晓正确的身份标识，则说明第二邮件不是钓鱼邮件。

具体地，如果第一身份标识与第二身份标识不同，则说明第一身份标识为错误的身份标识，邮件发送方并不是内网用户，发送的第二邮件极有可能存在危险，则可以将第二邮件确定为钓鱼邮件。

由此可见，邮件发送方可以在第一邮件上添加第一身份标识，邮件接收方可以将第一身份标识与预存的第二身份标识进行对比，若一致，说明邮件发送方为内网用户，第二邮件不是钓鱼邮件，能够准确的对钓鱼邮件进行识别，保障公司财产安全。

本申请实施例提供了一种钓鱼邮件识别方法，获取第一身份标识；在发送第一邮件时，根据第一邮件和第一身份标识，生成第二邮件，第二邮件包括第一身份标识；向收件人邮箱发送第二邮件，以便收件人邮箱判断第一身份标识和预存的第二身份标识是否一致，若是，则确定第二邮件不是钓鱼邮件；否则，确定第二邮件为钓鱼邮件。可见，在本申请实施例中，邮件发送方可以在第一邮件上添加第一身份标识，邮件接收方可以将第一身份标识与预存的第二身份标识进行对比，若一致，说明邮件发送方为内网用户，第二邮件不是钓鱼邮件，能够准确的对钓鱼邮件进行识别，保障公司财产安全。

基于以上钓鱼邮件识别方法，本申请实施例还提供了一种钓鱼邮件识别装置，参考图2所示，为本申请实施例提供的一种钓鱼邮件识别装置的结构框图，该装置可以包括：

获取单元201，用于获取第一身份标识；

生成单元202，用于在发送第一邮件时，根据所述第一邮件和所述第一身份标识，生成第二邮件；所述第二邮件包括所述第一身份标识；

发送单元203，用于向收件人邮箱发送所述第二邮件，以便所述收件人邮箱判断所述第一身份标识和预存的第二身份标识是否一致，若是，则确定所述第二邮件不是钓鱼邮件；否则，确定所述第二邮件为钓鱼邮件。

具体地，所述装置还包括：

判断单元，用于判断所述第一邮件的邮件信息是否满足添加身份标识条件，若是，则执行所述根据所述第一邮件和所述第一身份标识，生成第二邮件的步骤。

具体地，所述添加身份标识条件包括所述收件人邮箱的数量大于预设阈值。

具体地，所述获取单元用于：

根据当前日期确定所述第一身份标识。

本申请实施例提供了一种钓鱼邮件识别装置，获取第一身份标识；在发送第一邮件时，根据第一邮件和第一身份标识，生成第二邮件，第二邮件包括第一身份标识；向收件人邮箱发送第二邮件，以便收件人邮箱判断第一身份标识和预存的第二身份标识是否一致，若是，则确定第二邮件不是钓鱼邮件；否则，确定第二邮件为钓鱼邮件。可见，在本申请实施例中，邮件发送方可以在第一邮件上添加第一身份标识，邮件接收方可以将第一身份标识与预存的第二身份标识进行对比，若一致，说明邮件发送方为内网用户，第二邮件不是钓鱼邮件，能够准确的对钓鱼邮件进行识别，保障公司财产安全。

又一方面，本申请实施例提供了一种计算机设备，参见图3，该图示出了本申请实施例提供的一种计算机设备的结构图，所述设备包括处理器310以及存储器320：

所述存储器310用于存储程序代码，并将所述程序代码传输给所述处理器；

所述处理器320用于根据所述程序代码中的指令执行上述实施例提供的钓鱼邮件识别方法。

该计算机设备可以包括终端设备或服务器，前述的钓鱼邮件识别装置可以配置在该计算机设备中。

又一方面，本申请实施例还提供了一种存储介质，所述存储介质用于存储计算机程序，所述计算机程序用于执行上述实施例提供的钓鱼邮件识别方法。

另外，本申请实施例还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述方面的各种可选实现方式中提供的钓鱼邮件识别方法。

需要说明的是，本发明提供的一种钓鱼邮件识别方法、装置、设备及介质可用于网络安全领域或金融领域。上述仅为示例，并不对本发明提供的一种钓鱼邮件识别方法、装置、设备及介质的应用领域进行限定。

需要说明的是，本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令硬件来完成，前述程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质可以是下述介质中的至少一种：只读存储器(英文：Read-only Memory，缩写：ROM)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“对应于”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其它实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅是本申请的优选实施方式，虽然本申请已以较佳实施例披露如上，然而并非用以限定本申请。任何熟悉本领域的技术人员，在不脱离本申请技术方案范围情况下，都可利用上述揭示的方法和技术内容对本申请技术方案做出许多可能的变动和修饰，或修改为等同变化的等效实施例。因此，凡是未脱离本申请技术方案的内容，依据本申请的技术实质对以上实施例所做的任何的简单修改、等同变化及修饰，均仍属于本申请技术方案保护的范围内。