專利名稱:一種檢測郵件攻擊的方法、裝置及設備的制作方法
技術領域:
本發明涉及通信技術領域,尤其涉及一種檢測郵件攻擊的方法、裝置及設備。
背景技術:
郵件攻擊,也稱為“郵件炸彈攻擊”,英文是E-Mail Bomb,是一種攻擊電子郵件(E-mail)郵箱(下文簡稱電子郵箱)的手段,通過短時間內向目標電子郵箱連續發送垃圾郵件的方式,使該目標電子郵箱容量達到上限而沒有多余的空間來容納新的電子郵件(下文簡稱為郵件)。并且,發生郵件攻擊時,垃圾郵件在網絡中傳輸會消耗大量的網絡資源,從而可能引起網絡堵塞,導致其他大量的電子郵箱無法正常接收和發送郵件,同時也會給郵件服務器造成負擔。發生郵件攻擊時,郵件服務器所接收的郵件流量往往會出現異常,而一般郵件服務器是通過特定端口(例如,端口 25)接收郵件的,因此,在檢測是否發生郵件攻擊時,通常先針對郵件服務器的特定端口進行流量統計,當一定時間內郵件流量超過預設的流量閾值時,就認為發生了郵件攻擊,并對郵件服務器的特定端口的流量進行限制。采用這種檢測郵件攻擊的方式時,由于郵件服務器的特定端口除了接收郵件以夕卜,還會接收其他的數據,因此針對郵件服務器的特定端口進行流量統計時,所統計的流量中可能包含除郵件流量的其它數據流量,例如,命令數據等,因此對郵件攻擊的檢測結果是不準確的,不能正確地對郵件攻擊進行限制和處理。
發明內容
本發明實施例中提供了一種檢測郵件攻擊的方法、裝置及設備,用以解決現有技術中存在的郵件攻擊的檢測結果不準確的問題。為解決上述問題,本發明實施例提供的技術方案如下:第一方面,提供一種檢測郵件攻擊的方法,包括:接收數據流;獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據接收到的數據流的協議類型確定所述每個統計周期的郵件流量參數;當所述預定數目個統計周期內每個統計周期的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊。結合第一方面,在第一方面的第一種可能的實現方式中,所述根據接收到的數據流的協議類型確定所述每個統計周期內的郵件流量參數,包括:分析所述每個統計周期內接收到的數據流的協議類型;當所述協議類型屬于郵件協議類型時,確定所述數據流為郵件;根據確定的郵件獲得所述每個統計周期內的郵件流量參數。結合第一方面,或第一方面的第一種可能的實現方式,在第一方面的第二種可能的實現方式中,所述郵件流量參數包括:
郵件數量;或新建的用于傳輸郵件的簡單郵件傳輸協議SMTP連接數;或用于傳輸郵件的SMTP并發連接增加數。結合第一方面,或第一方面的第一種可能的實現方式,或第一方面的第二種可能的實現方式,在第一方面的第三種可能的實現方式中,在所述確定檢測到郵件攻擊之后,還包括:獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址;統計獲得的每個收件人郵箱地址在所述每個檢測周期的出現次數;將在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標地址。結合第一方面的第三種可能的實現方式,在第一方面的第四種可能的實現方式中,還包括:在所述獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址的同時,獲得所述郵件的發件人網絡協議IP地址;建立所述每個檢測周期中收件人郵箱地址和發件人IP地址的對應關系;在所述將在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標地址之后,還包括:根據所述對應關系統計所述目標地址對應的每個發件人IP地址的出現次數;將出現次數超過第三閾值的發件人IP地址確定為所述郵件攻擊的攻擊方IP地址。第二方面,提供一種檢測郵件攻擊的裝置,包括:接收單元,用于接收數據流;第一獲得單元,用于獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據所述接收單元接收到的數據流的協議類型確定所述每個統計周期的郵件流量參數;確定單元,用于當所述第一獲得單元獲得的預定數目個統計周期內每個統計周期內的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊。結合第二方面,在第二方面的第一種可能的實現方式中,所述第一獲得單元包括:協議類型分析子單元,用于在每個統計周期內,分析所述每個統計周期內接收到的數據流的協議類型;郵件確定子單元,用于當所述協議類型分析子單元分析出的數據流的協議類型屬于郵件協議類型時,確定所述數據流為郵件;參數獲得子單元,用于根據所述郵件確定子單元所確定的郵件獲得所述每個統計周期內的郵件流量參數。結合第二方面,或第二方面的第一種可能的實現方式,在第二方面的第二種可能的實現方式中,還包括:第二獲得單元,用于在所述確定單元確定檢測到郵件攻擊之后,獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址;
第一統計單元,用于統計所述第二獲得單元獲得的每個收件人郵箱地址在所述每個檢測周期的出現次數;目標地址確定單元,用于將所述第一統計單元統計的在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為郵件攻擊的目標地址。結合第二方面的第二種可能的實現方式,在第二方面的第三種可能的實現方式中,還包括:第三獲得單元,用于在所述第二獲得單元獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址的同時,獲得所述郵件的發件人網絡協議IP地址;對應關系建立單元,用于建立所述每個檢測周期中所述第二獲得單元獲得的收件人郵箱地址和所述第三獲得單元獲得的發件人IP地址的對應關系;第二統計單元,用于在所述目標地址確定單元確定目標地址之后,根據所述對應關系建立單元建立的對應關系統計所述目標地址對應的每個發件人IP地址的出現次數;攻擊方地址確定單元,用于將所述第二統計單元統計的出現次數超過第三閾值的發件人IP地址確定為所述郵件攻擊的攻擊方IP地址。第三方面,提供一種檢測郵件攻擊的設備,包括:網絡接口,用于接收數據流;處理器,用于獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據所述網絡接口接收到的數據流的協議類型確定所述每個統計周期的郵件流量參數,當所述預定數目個統計周期內每個統計周期的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊。結合第三方面,在第三方面的第一種可能的實現方式中,所述處理器具體用于:在每個統計周期內,分析所述每個統計周期內所述網絡接口接收到的數據流的協議類型,當所述協議類型屬于郵件協議類型時,確定所述數據流為郵件,根據確定的郵件獲得所述每個統計周期內的郵件流量參數。結合第三方面,或第三方面的第一種可能的實現方式,在第三方面的第二種可能的實現方式中,所述處理器還用于:在所述確定檢測到郵件攻擊之后,獲得預定數目個檢測周期內每個檢測周期所述網絡接口所接收到的郵件的收件人郵箱地址,統計獲得的每個收件人郵箱地址在所述每個檢測周期的出現次數,將在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標地址。結合第三方面的第二種可能的實現方式,在第三方面的第三種可能的實現方式中,所述處理器還用于:在所述獲得預定數目個檢測周期內每個檢測周期所述網絡接口所接收到的郵件的收件人郵箱地址的同時,獲得所述郵件的發件人網絡協議IP地址,建立所述每個檢測周期中收件人郵箱地址和發件人IP地址的對應關系,在所述將在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標地址之后,根據所述對應關系統計所述目標地址對應的每個發件人IP地址的出現次數,將出現次數超過第三閾值的發件人IP地址確定為所述郵件攻擊的攻擊方IP地址。本發明實施例的檢測郵件攻擊的方法中,先要確定郵件流量參數,然后根據確定出的郵件流量參數,確定檢測到郵件攻擊,其中,根據接收到的數據流的協議類型確定郵件流量參數。由上可見,當接收到的數據流中包含除郵件流量的其他數據流量時,根據數據流的協議類型可以確定出接收到的數據流中包含的郵件流量,從而可以準確地確定郵件流量參數,使郵件攻擊的檢測結果更為準確。
為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。圖1是本發明一個實施例中的檢測郵件攻擊的方法流程示意圖;圖2是本發明另一個實施例中的檢測郵件攻擊的方法流程示意圖;圖3是本發明另一個實施例中的檢測郵件攻擊的方法流程示意圖;圖4是本發明一個實施例中的網絡架構示意圖;圖5是本發明一個實施例中的監控表項示意圖;圖6是本發明一個實施例中的檢測郵件攻擊的裝置結構示意圖;圖7是本發明一個實施例中的第一獲得單元601的結構示意圖;圖8是本發明另一個實施例中的檢測郵件攻擊的裝置結構示意圖;圖9是本發明另一個實施例中的檢測郵件攻擊的裝置結構示意圖;圖10是本發明一個實施例中的檢測郵件攻擊的設備結構示意圖。
具體實施例方式下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整的描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基于本發明中的實施例,本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例,都屬于本發明保護的范圍。郵件攻擊的攻擊方經常采用一些郵件攻擊軟件來對目標電子郵箱進行郵件攻擊。對目標電子郵箱進行郵件攻擊時,會向目標電子郵箱發送大量的郵件或是發送容量很大的郵件,使目標電子郵箱的空間被占用完,無法接收新的郵件,無法正常使用。甚至有些郵件攻擊會通過控制僵尸網絡向目標電子郵箱發送大量的郵件,占用網絡資源,影響其他電子郵箱正常的收發郵件。經過對大量的郵件攻擊進行分析,本發明的發明人發現,郵件攻擊中的郵件大都是隨機產生或者是隨意編寫的,很難從中提煉出特征字段,因此要利用現有的基于特征字段的流量檢測來檢測郵件攻擊并不可行。另外,由于郵件攻擊會有基于小流量的洪量攻擊(flood攻擊),還有一些正常流量數據也可能會在短時間內流量很大,因此通過異常流量檢測的方式也不能準確的檢測出郵件攻擊。經過深入的分析發現,郵件攻擊存在一些共同的特征,如目標郵箱確定,即收件人郵箱地址確定;數據流的協議類型屬于郵件協議類型,例如,簡單郵件傳輸協議(英文全稱為Simple Mail Transfer Protocol,簡稱SMTP協議)類型,并且是基于傳輸控制協議(英文全稱為Transmission ControlProtocol,簡稱TCP協議)采用的真實通信連接;發生郵件攻擊時,同一個郵件服務器一定時間周期內接收到的郵件數目較多。另外,,發生郵件攻擊時發出的垃圾郵件,也有一些共同的特征,如郵件的收件人郵箱地址和發件人郵箱地址相同,或者郵件的文本內容相似等。可以理解的是,本領域的技術人員可以從上述特征中推導出其他更多的特征,在此不一一進行論述。針對這些郵件攻擊時的共同特征,本發明提出了能夠準確識別郵件攻擊的技術方案,能夠檢測出郵件攻擊,這樣被攻擊的目標電子郵箱就不會受到攻擊,可以正常使用,也不會影響網絡中其他電子郵箱的正常使用。如圖1所示,為本發明檢測郵件攻擊的方法的一個實施例,其具體處理過程如下:步驟101:接收數據流。步驟102,獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據接收到的數據流的協議類型確定每個統計周期的郵件流量參數。本實施例的執行主體可以是現有網絡中的郵件服務器或網關設備。本發明實施例中,根據接收到的數據流的協議類型確定每個統計周期內的郵件流量參數可以采用下述方法:分析每個統計周期內接收到的數據流的協議類型,當協議類型屬于郵件協議類型時,確定數據流為郵件,根據確定的郵件獲得每個統計周期內的郵件流量參數。上述郵件協議類型可以為SMTP協議,郵局協議(英文全稱為Post OfficeProtocol3,簡稱POP3協議),互聯網信息訪問協議(英文全稱為Internet MessageAccessProtocol,簡稱IMAP協議),本發明實施例以SMTP協議為例進行說明。上述郵件流量參數可以包括:郵件數量或新建的用于傳輸郵件的SMTP連接數或用于傳輸郵件的SMTP并發連接增加數。步驟103,當預定數目個統計周期內每個統計周期內的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊。當確定檢測到郵件攻擊后,可以采取相應的防范措施,具體可以采取下述三種防范措施:當確定檢測到郵件攻擊后,針對郵件服務器進行限流,從而避免郵件攻擊所引起的網絡阻塞;或者,當確定檢測到郵件攻擊后,進一步確定郵件攻擊的目標地址,即確定郵件攻擊所攻擊的郵箱地址,以便針對確定出的目標地址進行限流;或者,當確定檢測到郵件攻擊后,先進一步確定郵件攻擊的目標地址,然后再確定郵件攻擊的攻擊方IP地址,以便針對確定出的攻擊方IP地址進行限流,例如,阻止該攻擊方IP地址發送郵件。其中,當采取上述第一種防范措施時,可以在確定檢測到郵件攻擊后立即進行。當采取上述第二種防范措施時,在確定檢測到郵件攻擊之后,由于還要確定郵件攻擊的目標地址,因此本發明實施例進一步還可以包括確定目標地址的處理流程:先獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址,然后統計獲得的每個收件人郵箱地址在每個檢測周期的出現次數,再將在預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為郵件攻擊的目標地址。當采取上述第三種防范措施時,在確定檢測到郵件攻擊之后,不僅要確定郵件攻擊的目標地址,還要確定郵件攻擊的攻擊方IP地址,因此本發明實施例除了包括確認目標地址的處理流程(該處理流程與采取第二防范措施中的處理流程類似,在些不再進行描述)夕卜,進一步還可以包括確定攻擊方IP地址的處理流程:在獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址的同時,獲得郵件的發件人IP地址,并建立每個檢測周期中收件人郵箱地址和發件人IP地址的對應關系,然后在確定郵件攻擊的目標地址之后,根據對應關系統計目標地址對應的每個發件人IP地址的出現次數,再將出現次數超過第三閾值的發件人IP地址確定為郵件攻擊的攻擊方IP地址。本發明實施例中,可以在檢測郵件攻擊前,預先設定上述第一閾值為一固定數值,進一步還可以在檢測郵件攻擊的過程中,當郵件流量參數與第一閾值不相匹配時,根據郵件流量參數調整第一閾值,以使后續可以根據調整后的第一閾值檢測郵件攻擊。 由上可見,本發明實施例的檢測郵件攻擊的方法中,先要確定郵件流量參數,然后根據確定出的郵件流量參數,確定檢測到郵件攻擊。確定郵件流量參數時需要根據接收到的數據流的協議類型來確定。當接收到的數據流中包含除郵件流量的其他數據流量時,根據數據流的協議類型可以確定出接收到的數據流中包含的郵件流量,從而可以準確地確定郵件流量參數,相應地,郵件攻擊的檢測結果更為準確。如圖2所示,為本發明檢測郵件攻擊的方法的另一個實施例,該實施例中,在確定檢測到郵件攻擊之后,還要進一步確定郵件攻擊的目標地址,其具體處理過程如下:步驟201,接收數據流。步驟202,獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據接收到的數據流的協議類型確定每個統計周期的郵件流量參數。本實施例的執行主體可以是現有網絡中的郵件服務器或網關設備。本發明實施例中,根據接收到的數據流的協議類型確定每個統計周期的郵件流量參數可以采用下述方法:分析每個統計周期內接收到的數據流的協議類型,當協議類型屬于郵件協議類型時,確定數據流為郵件,根據確定的郵件獲得每個統計周期內的郵件流量參數。上述郵件流量參數可以包括:郵件數量或新建的用于傳輸郵件的SMTP連接數或用于傳輸郵件的SMTP并發連接增加數。步驟203,當每個統計周期內的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊。由于正常情況下郵件流量參數的數值是平穩變化的,當受到郵件攻擊時郵件流量參數的數值會發生明顯的突變,因此可以預先設定郵件流量參數的參考值,參考值即上述
第一閾值。本發明實施例中,可以在檢測郵件攻擊前,預先設定第一閾值為一固定數值,進一步還可以在檢測郵件攻擊的過程中,當郵件流量參數與第一閾值不相匹配時,根據郵件流量參數調整第一閾值,以使后續可以根據調整后的第一閾值檢測郵件攻擊。郵件流量參數與第一閾值不相匹配具體可以包括:郵件流量參數不超過第一閾值,例如,當郵件流量參數為郵件數目,第一閾值為100時,若確定出的郵件數量為10,由于郵件數量不超過第一閾值,則表示郵件流量參數與第一閾值不相匹配,若確定出的郵件數量為200,由于郵件數量超過第一閾值,則表示郵件流量參數與第一閾值匹配。第一閾值的確定方法具體可以包括如下處理流程:在檢測郵件攻擊前,通過流量學習、流量建模和模型輸出的過程,確定第一閾值的初始值,其中,上述第一閾值的初始值為一固定數值,通常將這一過程稱為檢測郵件攻擊前的學習階段,在學習階段完成后才能檢測郵件攻擊,即進入工作狀態。在檢測郵件攻擊時,在一個統計周期內,根據接收到的數據流的協議類型確定一個統計周期的郵件流量參數,當確定出的郵件流量參數與第一閾值不相匹配時,根據郵件流量參數調整第一閾值,其中,可以基于上述學習階段確定出的第一閾值的初始值,根據郵件流量參數調整第一閾值。步驟204,獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址。本發明實施例中,可以在接收到郵件后,對郵件進行內容分析,從而獲得郵件的收件人郵箱地址。步驟205,統計獲得的每個收件人郵箱地址在每個檢測周期的出現次數。本發明實施例中,可以在獲得郵件的收件人郵箱地址后,對收件人郵箱地址進行標準化處理,轉換成同一種大小寫模式,然后在已存儲的收件人郵箱地址中進行查找,若未查找到該收件人郵箱地址,則存儲該收件人郵箱地址,并將該收件人郵箱地址的出現次數初始化為1,若查找到該收件人郵箱地址,則將該收件人郵箱地址的出現次數加I。步驟206,將在預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為郵件攻擊的目標地址。當在預定數目個檢測周期內任一檢測周期中均未檢測出目標地址時,確認未發生郵件攻擊。由上可見,本發明實施例的檢測郵件攻擊的方法中,不僅檢測結果更為準確,而且在確定檢測到郵件攻擊之后,還進一步確定出了郵件攻擊的目標地址,從而可以針對確定出的目標地址,采取限流等防范措施。如圖3所示,為本發明檢測郵件攻擊的方法的另一個實施例,該實施例中在確定檢測到郵件攻擊之后,先進一步確定郵件攻擊的目標地址,然后再確定郵件攻擊的攻擊方IP地址,其具體處理過程如下:步驟301,分析每個統計周期內接收到的數據流的協議類型,當協議類型屬于郵件協議類型時,確定數據流為郵件。本實施例的執行主體可以是現有網絡中的郵件服務器或網關設備。步驟302,根據確定的郵件獲得每個統計周期內的郵件流量參數。步驟303,判斷預定數目個統計周期內是否每個統計周期內的郵件流量參數均與第一閾值相匹配,若判斷結果為是,則執行步驟304 ;若判斷結果為否,則結束當前流程。步驟304,獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址和發件人IP地址,并建立兩者的對應關系。上述對應關系為每個檢測周期中收件人郵箱地址和發件人IP地址的對應關系。本實施例中,可以在每個檢測周期中建立一個監控表項,上述監控表項用于存儲該檢測周期內接收到的郵件的收件人郵箱地址與發件人IP地址的對應關系。在每個檢測周期中,接收到郵件后,可以先獲得郵件的收件人郵箱地址和發件人IP地址。對于獲得的每個收件人郵箱地址,可以在建立的監控表項中查找是否存在該收件人郵箱地址對應的哈希節點,若查找結果為不存在該收件人郵箱地址對應的哈希節點,則建立該收件人郵箱地址對應的哈希節點。其中,可以在每個收件人郵箱地址對應的哈希節點中存儲該收件人郵箱地址和該收件人郵箱地址在檢測周期的出現次數,同時在該哈希節點的從屬節點中保存發件人IP地址和該發件人IP地址在檢測周期中的出現次數。步驟305,統計獲得的每個收件人郵箱地址在每個檢測周期的出現次數。本實施例中,每個收件人郵箱地址在每個檢測周期內出現次數初始數值為I ;若查找監控表項的結果為存在該收件人郵箱地址對應的哈希節點,則將查找到的哈希節點中存儲的收件人郵箱地址在檢測周期的出現次數加一,當一個檢測周期結束時,根據建立的監控表項統計每個收件人郵箱地址在每個檢測周期的出現次數。步驟306,將在預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為郵件攻擊的目標地址。步驟307,根據對應關系統計目標地址對應的每個發件人IP地址的出現次數。本實施例中,在確定了郵件攻擊的目標地址后,可以遍歷該目標地址對應的哈希節點的所有從屬節點,統計目標地址對應的每個發件人IP地址的出現次數。步驟308,將出現次數超過第三閾值的發件人IP地址確定為郵件攻擊的攻擊方IP地址,結束當前流程。由上可見,本發明實施例的檢測郵件攻擊的方法中,不僅檢測結果更為準確,而且在確定檢測到郵件攻擊之后,先進一步確定郵件攻擊的目標地址,然后再確定郵件攻擊的攻擊方IP地址,以便針對該攻擊方IP地址進行限流,例如,阻止該攻擊方IP地址發送郵件,從而使得防范郵件攻擊時更有針對性,也更有效。如圖4所示,為本發明檢測郵件攻擊的方法的網絡架構示意圖,其中,郵件服務器404負責電子郵件收發管理,攻擊方設備401通過一個主控主機402和多個受控主機403發起郵件攻擊,由于存在多個受控主機作為攻擊主機,因此圖4示出的郵件攻擊方式屬于分布式拒絕服務(英文全稱為Distributed Denial of Service,簡稱DDoS)攻擊,需要說明的是,圖4示出的DDoS攻擊方式僅為一種示例,對于其他類型的郵件攻擊方式也可以采用本發明實施例進行檢測,對此本發明實施例不進行限制。基于圖4所示的網絡架構,本發明的另一個實施例中可以采用下述處理方法:先獲得預定數目個統計周期內每個統計周期的郵件數量,其中,在一個統計周期內,根據接收到的數據流的協議類型確定一個統計周期的郵件數量,當每個統計周期的郵件數量均與第一閾值相匹配時,確定檢測到郵件攻擊,然后進入檢測模式,在每個檢測周期中建立一個監控表項,上述監控表項用于存儲該檢測周期內接收到的郵件的收件人郵箱地址與發件人IP地址的對應關系。在一個檢測周期中,接收到郵件后,先獲得郵件的收件人郵箱地址和發件人IP地址。對于獲得的每個收件人郵箱地址,在建立的監控表項中查找是否存在該收件人郵箱地址對應的哈希節點,若查找結果為不存在該收件人郵箱地址對應的哈希節點,則建立該收件人郵箱地址對應的哈希節點,在該哈希節點中存儲該收件人郵箱地址和該收件人郵箱地址在檢測周期的出現次數,出現次數初始數值為I ;若查找結果為存在該收件人郵箱地址對應的哈希節點,則將查找到的哈希節點中存儲的收件人郵箱地址在檢測周期的出現次數加一。同時在該哈希節點的從屬節點中保存發件人IP地址和該發件人IP地址在檢測周期中的出現次數,在檢測周期內進行表項數據的刷新,當一個檢測周期結束時,根據建立的監控表項獲得每個收件人郵箱地址在該檢測周期的出現次數,將在檢測周期內出現次數超過第二閾值的收件人郵箱地址確定為郵件攻擊的目標地址,然后再遍歷該目標地址對應的哈希節點的所有從屬節點,將出現次數(即發送給目標地址的郵件數目)超過第三閾值的發件人IP地址確定為郵件攻擊的攻擊方IP地址。如圖5所示,為本發明上述檢測郵件攻擊的方法實施例中所建立的監控表項示意圖,圖中D代表收件人郵箱地址,Total (D)代表收件人郵箱地址D在檢測周期的出現次數,D所對應的哈希節點共有三個從屬節點,分別存儲發件人IP地址IPl和其在該檢測周期中的出現次數MCount(IPl)、發件人IP地址IP2和其在該檢測周期中的出現次數MCount (IP2)以及發件人IP地址IP3和其在該檢測周期中的出現次數MCount (IP3);圖中M代表另一個收件人郵箱地址,Total (M)代表收件人郵箱地址M在檢測周期的出現次數,M所對應的哈希節點共有4個從屬節點,分別存儲發件人IP地址IP4和其在該檢測周期中的出現次數MCount (IP4)、發件人IP地址IP5和其在該檢測周期中的出現次數MCount (IP5)、發件人IP地址IP6和其在該檢測周期中的出現次數MCount (IP6)以及發件人IP地址IP7和其在該檢測周期中的出現次數MCount (IP7)。與本發明檢測郵件攻擊的方法的實施例相對應,本發明還提供了檢測郵件攻擊的裝置及設備的實施例。如圖6所示為本發明檢測郵件攻擊的裝置的一個實施例,所述裝置包括:接收單元601、第一獲得單元602和確定單元603。其中,接收單元601,用于接收數據流;第一獲得單元602,用于獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據所述接收單元601接收到的數據流的協議類型確定所述每個統計周期的郵件流量參數;確定單元603,用于當所述第一獲得單元602獲得的預定數目個統計周期內每個統計周期內的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊。采用本發明實施例的檢測郵件攻擊的檢測裝置,由第一獲得單元602獲得郵件流量參數,然后由確定單元603根據第一獲得單元602獲得的郵件流量參數,確定檢測到郵件攻擊,其中,第一獲得單元602根據接收到的數據流的協議類型確定郵件流量參數。由上可見,當接收到的數據流中包含除郵件流量的其他數據流量時,第一獲得單元602根據數據流的協議類型可以確定出接收到的數據流中包含的郵件流量,從而可以準確地確定郵件流量參數,使確定單元603確定檢測到郵件攻擊的檢測結果更為準確。如圖7所示為上述第一獲得單元602的一個具體的實施例,所述第一獲得單元602包括:協議類型分析子單元6021、郵件確定子單元6022和參數獲得子單元6023。其中,協議類型分析子單元6021,用于在每個統計周期內,分析所述每個統計周期內接收到的數據流的協議類型;郵件確定子單元6022,用于當所述協議類型分析子單元6021分析出的數據流的協議類型屬于郵件協議類型時,確定所述數據流為郵件;參數獲得子單元6023,用于根據所述郵件確定子單,6022所確定的郵件獲得所述每個統計周期內的郵件流量參數。在上述檢測郵件攻擊的檢測裝置的一個具體的實施例中,所述第一獲得單元602獲得的郵件流量參數包括:郵件數量;或新建的用于傳輸郵件的SMTP連接數;或用于傳輸郵件的SMTP并發連接增加數。如圖8所示為本發明檢測郵件攻擊的裝置的另一個實施例,所述裝置包括:接收單元801、第一獲得單元802、確定單元803、第二獲得單元804、第一統計單元805和目標地址確定單元806。其中,接收單元801,用于接收數據流;第一獲得單元802,用于獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據所述接收單元801接收到的數據流的協議類型確定所述每個統計周期的郵件流量參數;確定單元803,用于當所述第一獲得單元802獲得的預定數目個統計周期內每個統計周期內的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊;第二獲得單元804,用于在所述確定單元803確定檢測到郵件攻擊之后,獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址;第一統計單元805,用于統計所述第二獲得單元804獲得的每個收件人郵箱地址在所述每個檢測周期的出現次數;目標地址確定單元806,用于將所述第一統計單元805統計的在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為郵件攻擊的目標地址。如圖9所示為本發明檢測郵件攻擊的裝置的另一個實施例,所述裝置包括:接收單元901、第一獲得單元902、確定單元903、第二獲得單元904、第一統計單元905、目標地址確定單元906、第三獲得單元907、對應關系建立單元908、第二統計單元909和攻擊方地址確定單元910。其中,接收單元901,用于接收數據流;第一獲得單元902,用于獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據所述接收單元901接收到的數據流的協議類型確定所述每個統計周期的郵件流量參數;確定單元903,用于當所述第一獲得單元902獲得的預定數目個統計周期內每個統計周期內的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊;第二獲得單元904,用于在所述確定單元903確定檢測到郵件攻擊之后,獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址;第一統計單元905,用于統計所述第二獲得單元904獲得的每個收件人郵箱地址在所述每個檢測周期的出現次數;目標地址確定單元906,用于將所述第一統計單元905統計的在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為郵件攻擊的目標地址;第三獲得單元907,用于在所述第二獲得單元904獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址的同時,獲得所述郵件的發件人IP地址;對應關系建立單元908,用于建立所述每個檢測周期中所述第二獲得單元904獲得的收件人郵箱地址和所述第三獲得單元907獲得的發件人IP地址的對應關系;第二統計單元909,用于在所述目標地址確定單元906確定目標地址之后,根據所述對應關系建立單元908建立的對應關系統計所述目標地址對應的每個發件人IP地址的出現次數;
攻擊方地址確定單元910,用于將所述第二統計單元909統計的出現次數超過第三閾值的發件人IP地址確定為所述郵件攻擊的攻擊方IP地址。如圖10所示為本發明檢測郵件攻擊的設備的一個實施例,所述設備包括:網絡接口 1001和處理器1002。其中,網絡接口 1001,用于接收數據流;處理器1002,用于獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據所述網絡接口 1001接收到的數據流的協議類型確定所述每個統計周期的郵件流量參數,當所述預定數目個統計周期內每個統計周期的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊。在上述本發明檢測郵件攻擊的設備的一個具體的實施例中,所述處理器1002可以具體用于:在每個統計周期內,分析所述每個統計周期內所述網絡接口接收到的數據流的協議類型,當所述協議類型屬于郵件協議類型時,確定所述數據流為郵件,根據確定的郵件獲得所述每個統計周期內的郵件流量參數。在上述本發明檢測郵件攻擊的設備的另一個具體的實施例中,所述處理器1002獲得的郵件流量參數包括:郵件數量;或新建的用于傳輸郵件的SMTP連接數;或用于傳輸郵件的SMTP并發連接增加數。在上述本發明檢測郵件攻擊的設備的另一個具體的實施例中,所述處理器1002還可以用于:在所述確定檢測到郵件攻擊之后,獲得預定數目個檢測周期內每個檢測周期所述網絡接口 1001所接收到的郵件的收件人郵箱地址,統計獲得的每個收件人郵箱地址在所述每個檢測周期的出現次數,將在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標地址。在上述本發明檢測郵件攻擊的設備的另一個具體的實施例中,所述處理器1002還可以用于:在所述獲得預定數目個檢測周期內每個檢測周期所述網絡接口 1001所接收到的郵件的收件人郵箱地址的同時,獲得所述郵件的發件人IP地址,建立所述每個檢測周期中收件人郵箱地址和發件人IP地址的對應關系,在所述將在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標地址之后,根據所述對應關系統計所述目標地址對應的每個發件人IP地址的出現次數,將出現次數超過第三閾值的發件人IP地址確定為所述郵件攻擊的攻擊方IP地址。需要說明的是,前述圖6中示出的檢測郵件攻擊的裝置可以集成在本實施例中示出的檢測郵件攻擊的設備中。在實際應用中,本發明實施例中的檢測郵件攻擊的設備可以具體為郵件服務器,或網關設備。專業人員還可以進一步應能意識到,結合本文中所公開的實施例描述的各示例的單元及算法步驟,能夠以電子硬件、計算機軟件或者二者的結合來實現,為了清楚地說明硬件和軟件的可互換性,在上述說明中已經按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來執行,取決于技術方案的特定應用和設計約束條件。專業技術人員可以對每個特定的應用來使用不同方法來實現所描述的功能,但是這種實現不應認為超出本發明實施例的范圍。結合本文中所公開的實施例描述的方法或算法的步驟可以直接用硬件、處理器執行的軟件模塊,或者二者的結合來實施。對所公開的實施例的上述說明,使本領域專業技術人員能夠實現或使用本發明實施例。對這些實施例的多種修改對本領域的專業技術人員來說將是顯而易見的,本文中所定義的一般原理可以在不脫離本發明實施例的精神或范圍的情況下,在其他實施例中實現。因此,本發明實施例將不會被限制于本文所示的這些實施例,而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍。以上所述僅為本發明實施例的較佳實施例而已,并不用以限制本發明實施例,凡在本發明實施例的精神和原則之內,所作的任何修改、等同替換、改進等,均應包含在本發明實施例的保護范圍之內。
權利要求
1.一種檢測郵件攻擊的方法,其特征在于,包括: 接收數據流; 獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據接收到的數據流的協議類型確定所述每個統計周期的郵件流量參數; 當所述預定數目個統計周期內每個統計周期的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊。
2.如權利要求1所述的方法,其特征在于,所述根據接收到的數據流的協議類型確定所述每個統計周期內的郵件流量參數,包括: 分析所述每個統計周期內接收到的數據流的協議類型; 當所述協議類型屬于郵件協議類型時,確定所述數據流為郵件; 根據確定的郵件獲得所述每個統計周期內的郵件流量參數。
3.如權利要求1或2所述的方法,其特征在于,所述郵件流量參數包括: 郵件數量;或 新建的用于傳輸郵件的簡單郵件傳輸協議SMTP連接數;或 用于傳輸郵件的SMTP并發連接增加數。
4.如權利要求1至3中任一權利要求所述的方法,其特征在于,在所述確定檢測到郵件攻擊之后,還包括: 獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址; 統計獲得的每個收件人郵箱地址在所述每個檢測周期的出現次數; 將在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標地址。
5.如權利要求4所述的方法,其特征在于,還包括: 在所述獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址的同時,獲得所述郵件的發件人網絡協議IP地址; 建立所述每個檢測周期中收件人郵箱地址和發件人IP地址的對應關系; 在所述將在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標地址之后,還包括: 根據所述對應關系統計所述目標地址對應的每個發件人IP地址的出現次數; 將出現次數超過第三閾值的發件人IP地址確定為所述郵件攻擊的攻擊方IP地址。
6.一種檢測郵件攻擊的裝置,其特征在于,包括: 接收單元,用于接收數據流; 第一獲得單元,用于獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據所述接收單元接收到的數據流的協議類型確定所述每個統計周期的郵件流量參數; 確定單元,用于當所述第一獲得單元獲得的預定數目個統計周期內每個統計周期內的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊。
7.如權利要求6所述的裝置,其特征在于,所述第一獲得單元包括: 協議類型分析子單元,用于在每個統計周期內,分析所述每個統計周期內接收到的數據流的協議類型;郵件確定子單元,用于當所述協議類型分析子單元分析出的數據流的協議類型屬于郵件協議類型時,確定所述數據流為郵件; 參數獲得子單元,用于根據所述郵件確定子單元所確定的郵件獲得所述每個統計周期內的郵件流量參數。
8.如權利要求6或7所述的裝置,其特征在于,還包括: 第二獲得單元,用于在所述確定單元確定檢測到郵件攻擊之后,獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址; 第一統計單元,用于統計所述第二獲得單元獲得的每個收件人郵箱地址在所述每個檢測周期的出現次數; 目標地址確定單元,用于將所述第一統計單元統計的在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為郵件攻擊的目標地址。
9.如權利要求8所述的裝置,其特征在于,還包括: 第三獲得單元,用于在所述第二獲得單元獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址的同時,獲得所述郵件的發件人網絡協議IP地址; 對應關系建立單元,用于建立所述每個檢測周期中所述第二獲得單元獲得的收件人郵箱地址和所述第三獲得單元獲得的發件人IP地址的對應關系; 第二統計單元,用于在所述目標地址確定單元確定目標地址之后,根據所述對應關系建立單元建立的對應關系統計所述目標地址對應的每個發件人IP地址的出現次數; 攻擊方地址確定單元,用于將所述第二統計單元統計的出現次數超過第三閾值的發件人IP地址確定為所述郵件攻擊的攻擊方IP地址。
10.一種檢測郵件攻擊的設備,其特征在于,包括: 網絡接口,用于接收數據流; 處理器,用于獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據所述網絡接口接收到的數據流的協議類型確定所述每個統計周期的郵件流量參數,當所述預定數目個統計周期內每個統計周期的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊。
11.如權利要求10所述的設備,其特征在于,所述處理器具體用于:在每個統計周期內,分析所述每個統計周期內所述網絡接口接收到的數據流的協議類型,當所述協議類型屬于郵件協議類型時,確定所述數據流為郵件,根據確定的郵件獲得所述每個統計周期內的郵件流量參數。
12.如權利要求10或11所述的設備,其特征在于,所述處理器還用于:在所述確定檢測到郵件攻擊之后,獲得預定數目個檢測周期內每個檢測周期所述網絡接口所接收到的郵件的收件人郵箱地址,統計獲得的每個收件人郵箱地址在所述每個檢測周期的出現次數,將在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標地址。
13.如權利要求12所述的設備,其特征在于,所述處理器還用于:在所述獲得預定數目個檢測周期內每個檢測周期所述網絡接口所接收到的郵件的收件人郵箱地址的同時,獲得所述郵件的發件人網絡協議IP地址,建立所述每個檢測周期中收件人郵箱地址和發件人IP地址的對應關系,在所述將在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標地址之后,根據所述對應關系統計所述目標地址對應的每個發件人IP地址的出現次數,將出現次數超過第三閾值的發件人IP地址確定為所述郵 件攻擊的攻擊方IP地址。
全文摘要
本發明實施例公開了一種檢測郵件攻擊的方法、裝置及設備,該方法包括接收數據流;獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據接收到的數據流的協議類型確定所述每個統計周期的郵件流量參數;當所述預定數目個統計周期內每個統計周期的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊。應用本發明實施例,可以使郵件攻擊的檢測結果更為準確。
文檔編號H04L12/58GK103078752SQ20121057928
公開日2013年5月1日 申請日期2012年12月27日 優先權日2012年12月27日
發明者蔣武, 董興水 申請人:華為技術有限公司