專利名稱:一種檢測郵件攻擊的方法��、裝置及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�����,尤其涉及一種檢測郵件攻擊的方法���、裝置及設(shè)備����。
背景技術(shù):
郵件攻擊,也稱為“郵件炸彈攻擊”�����,英文是E-Mail Bomb�,是一種攻擊電子郵件(E-mail)郵箱(下文簡稱電子郵箱)的手段,通過短時(shí)間內(nèi)向目標(biāo)電子郵箱連續(xù)發(fā)送垃圾郵件的方式��,使該目標(biāo)電子郵箱容量達(dá)到上限而沒有多余的空間來容納新的電子郵件(下文簡稱為郵件)�。并且,發(fā)生郵件攻擊時(shí)�,垃圾郵件在網(wǎng)絡(luò)中傳輸會(huì)消耗大量的網(wǎng)絡(luò)資源,從而可能引起網(wǎng)絡(luò)堵塞�,導(dǎo)致其他大量的電子郵箱無法正常接收和發(fā)送郵件��,同時(shí)也會(huì)給郵件服務(wù)器造成負(fù)擔(dān)����。發(fā)生郵件攻擊時(shí),郵件服務(wù)器所接收的郵件流量往往會(huì)出現(xiàn)異常��,而一般郵件服務(wù)器是通過特定端口(例如,端口 25)接收郵件的����,因此,在檢測是否發(fā)生郵件攻擊時(shí)���,通常先針對(duì)郵件服務(wù)器的特定端口進(jìn)行流量統(tǒng)計(jì)����,當(dāng)一定時(shí)間內(nèi)郵件流量超過預(yù)設(shè)的流量閾值時(shí)�����,就認(rèn)為發(fā)生了郵件攻擊�,并對(duì)郵件服務(wù)器的特定端口的流量進(jìn)行限制。采用這種檢測郵件攻擊的方式時(shí)�,由于郵件服務(wù)器的特定端口除了接收郵件以夕卜,還會(huì)接收其他的數(shù)據(jù)���,因此針對(duì)郵件服務(wù)器的特定端口進(jìn)行流量統(tǒng)計(jì)時(shí)����,所統(tǒng)計(jì)的流量中可能包含除郵件流量的其它數(shù)據(jù)流量���,例如����,命令數(shù)據(jù)等,因此對(duì)郵件攻擊的檢測結(jié)果是不準(zhǔn)確的�����,不能正確地對(duì)郵件攻擊進(jìn)行限制和處理����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例中提供了一種檢測郵件攻擊的方法、裝置及設(shè)備��,用以解決現(xiàn)有技術(shù)中存在的郵件攻擊的檢測結(jié)果不準(zhǔn)確的問題����。為解決上述問題,本發(fā)明實(shí)施例提供的技術(shù)方案如下:第一方面��,提供一種檢測郵件攻擊的方法���,包括:接收數(shù)據(jù)流;獲得預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)�����,其中,在每個(gè)統(tǒng)計(jì)周期內(nèi)���,根據(jù)接收到的數(shù)據(jù)流的協(xié)議類型確定所述每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)�;當(dāng)所述預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)均與第一閾值相匹配時(shí)��,確定檢測到郵件攻擊�。結(jié)合第一方面,在第一方面的第一種可能的實(shí)現(xiàn)方式中����,所述根據(jù)接收到的數(shù)據(jù)流的協(xié)議類型確定所述每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù),包括:分析所述每個(gè)統(tǒng)計(jì)周期內(nèi)接收到的數(shù)據(jù)流的協(xié)議類型���;當(dāng)所述協(xié)議類型屬于郵件協(xié)議類型時(shí)���,確定所述數(shù)據(jù)流為郵件;根據(jù)確定的郵件獲得所述每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)��。結(jié)合第一方面���,或第一方面的第一種可能的實(shí)現(xiàn)方式�����,在第一方面的第二種可能的實(shí)現(xiàn)方式中����,所述郵件流量參數(shù)包括:
郵件數(shù)量;或新建的用于傳輸郵件的簡單郵件傳輸協(xié)議SMTP連接數(shù)��;或用于傳輸郵件的SMTP并發(fā)連接增加數(shù)�����。結(jié)合第一方面�����,或第一方面的第一種可能的實(shí)現(xiàn)方式��,或第一方面的第二種可能的實(shí)現(xiàn)方式��,在第一方面的第三種可能的實(shí)現(xiàn)方式中�����,在所述確定檢測到郵件攻擊之后,還包括:獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所接收到的郵件的收件人郵箱地址�����;統(tǒng)計(jì)獲得的每個(gè)收件人郵箱地址在所述每個(gè)檢測周期的出現(xiàn)次數(shù)��;將在所述預(yù)定數(shù)目個(gè)檢測周期內(nèi)任一檢測周期中的出現(xiàn)次數(shù)超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標(biāo)地址��。結(jié)合第一方面的第三種可能的實(shí)現(xiàn)方式�����,在第一方面的第四種可能的實(shí)現(xiàn)方式中��,還包括:在所述獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所接收到的郵件的收件人郵箱地址的同時(shí)���,獲得所述郵件的發(fā)件人網(wǎng)絡(luò)協(xié)議IP地址;建立所述每個(gè)檢測周期中收件人郵箱地址和發(fā)件人IP地址的對(duì)應(yīng)關(guān)系���;在所述將在所述預(yù)定數(shù)目個(gè)檢測周期內(nèi)任一檢測周期中的出現(xiàn)次數(shù)超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標(biāo)地址之后����,還包括:根據(jù)所述對(duì)應(yīng)關(guān)系統(tǒng)計(jì)所述目標(biāo)地址對(duì)應(yīng)的每個(gè)發(fā)件人IP地址的出現(xiàn)次數(shù)���;將出現(xiàn)次數(shù)超過第三閾值的發(fā)件人IP地址確定為所述郵件攻擊的攻擊方IP地址�����。第二方面��,提供一種檢測郵件攻擊的裝置���,包括:接收單元�,用于接收數(shù)據(jù)流���;第一獲得單元���,用于獲得預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù),其中��,在每個(gè)統(tǒng)計(jì)周期內(nèi)���,根據(jù)所述接收單元接收到的數(shù)據(jù)流的協(xié)議類型確定所述每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)�;確定單元��,用于當(dāng)所述第一獲得單元獲得的預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)均與第一閾值相匹配時(shí)�,確定檢測到郵件攻擊�。結(jié)合第二方面��,在第二方面的第一種可能的實(shí)現(xiàn)方式中��,所述第一獲得單元包括:協(xié)議類型分析子單元��,用于在每個(gè)統(tǒng)計(jì)周期內(nèi)����,分析所述每個(gè)統(tǒng)計(jì)周期內(nèi)接收到的數(shù)據(jù)流的協(xié)議類型�����;郵件確定子單元��,用于當(dāng)所述協(xié)議類型分析子單元分析出的數(shù)據(jù)流的協(xié)議類型屬于郵件協(xié)議類型時(shí)�,確定所述數(shù)據(jù)流為郵件;參數(shù)獲得子單元�,用于根據(jù)所述郵件確定子單元所確定的郵件獲得所述每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)。結(jié)合第二方面�,或第二方面的第一種可能的實(shí)現(xiàn)方式,在第二方面的第二種可能的實(shí)現(xiàn)方式中����,還包括:第二獲得單元��,用于在所述確定單元確定檢測到郵件攻擊之后����,獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所接收到的郵件的收件人郵箱地址���;
第一統(tǒng)計(jì)單元�����,用于統(tǒng)計(jì)所述第二獲得單元獲得的每個(gè)收件人郵箱地址在所述每個(gè)檢測周期的出現(xiàn)次數(shù)�����;目標(biāo)地址確定單元��,用于將所述第一統(tǒng)計(jì)單元統(tǒng)計(jì)的在所述預(yù)定數(shù)目個(gè)檢測周期內(nèi)任一檢測周期中的出現(xiàn)次數(shù)超過第二閾值的收件人郵箱地址確定為郵件攻擊的目標(biāo)地址�����。結(jié)合第二方面的第二種可能的實(shí)現(xiàn)方式�����,在第二方面的第三種可能的實(shí)現(xiàn)方式中���,還包括:第三獲得單元��,用于在所述第二獲得單元獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所接收到的郵件的收件人郵箱地址的同時(shí)�,獲得所述郵件的發(fā)件人網(wǎng)絡(luò)協(xié)議IP地址�;對(duì)應(yīng)關(guān)系建立單元,用于建立所述每個(gè)檢測周期中所述第二獲得單元獲得的收件人郵箱地址和所述第三獲得單元獲得的發(fā)件人IP地址的對(duì)應(yīng)關(guān)系���;第二統(tǒng)計(jì)單元,用于在所述目標(biāo)地址確定單元確定目標(biāo)地址之后����,根據(jù)所述對(duì)應(yīng)關(guān)系建立單元建立的對(duì)應(yīng)關(guān)系統(tǒng)計(jì)所述目標(biāo)地址對(duì)應(yīng)的每個(gè)發(fā)件人IP地址的出現(xiàn)次數(shù);攻擊方地址確定單元�,用于將所述第二統(tǒng)計(jì)單元統(tǒng)計(jì)的出現(xiàn)次數(shù)超過第三閾值的發(fā)件人IP地址確定為所述郵件攻擊的攻擊方IP地址。第三方面����,提供一種檢測郵件攻擊的設(shè)備,包括:網(wǎng)絡(luò)接口���,用于接收數(shù)據(jù)流�����;處理器�,用于獲得預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù),其中��,在每個(gè)統(tǒng)計(jì)周期內(nèi)���,根據(jù)所述網(wǎng)絡(luò)接口接收到的數(shù)據(jù)流的協(xié)議類型確定所述每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)�����,當(dāng)所述預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)均與第一閾值相匹配時(shí)�,確定檢測到郵件攻擊����。結(jié)合第三方面,在第三方面的第一種可能的實(shí)現(xiàn)方式中�����,所述處理器具體用于:在每個(gè)統(tǒng)計(jì)周期內(nèi)��,分析所述每個(gè)統(tǒng)計(jì)周期內(nèi)所述網(wǎng)絡(luò)接口接收到的數(shù)據(jù)流的協(xié)議類型���,當(dāng)所述協(xié)議類型屬于郵件協(xié)議類型時(shí)��,確定所述數(shù)據(jù)流為郵件����,根據(jù)確定的郵件獲得所述每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)。結(jié)合第三方面�����,或第三方面的第一種可能的實(shí)現(xiàn)方式�����,在第三方面的第二種可能的實(shí)現(xiàn)方式中����,所述處理器還用于:在所述確定檢測到郵件攻擊之后����,獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所述網(wǎng)絡(luò)接口所接收到的郵件的收件人郵箱地址,統(tǒng)計(jì)獲得的每個(gè)收件人郵箱地址在所述每個(gè)檢測周期的出現(xiàn)次數(shù)���,將在所述預(yù)定數(shù)目個(gè)檢測周期內(nèi)任一檢測周期中的出現(xiàn)次數(shù)超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標(biāo)地址��。結(jié)合第三方面的第二種可能的實(shí)現(xiàn)方式��,在第三方面的第三種可能的實(shí)現(xiàn)方式中�����,所述處理器還用于:在所述獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所述網(wǎng)絡(luò)接口所接收到的郵件的收件人郵箱地址的同時(shí)�,獲得所述郵件的發(fā)件人網(wǎng)絡(luò)協(xié)議IP地址,建立所述每個(gè)檢測周期中收件人郵箱地址和發(fā)件人IP地址的對(duì)應(yīng)關(guān)系���,在所述將在所述預(yù)定數(shù)目個(gè)檢測周期內(nèi)任一檢測周期中的出現(xiàn)次數(shù)超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標(biāo)地址之后�����,根據(jù)所述對(duì)應(yīng)關(guān)系統(tǒng)計(jì)所述目標(biāo)地址對(duì)應(yīng)的每個(gè)發(fā)件人IP地址的出現(xiàn)次數(shù)�,將出現(xiàn)次數(shù)超過第三閾值的發(fā)件人IP地址確定為所述郵件攻擊的攻擊方IP地址���。本發(fā)明實(shí)施例的檢測郵件攻擊的方法中����,先要確定郵件流量參數(shù)�����,然后根據(jù)確定出的郵件流量參數(shù),確定檢測到郵件攻擊�����,其中��,根據(jù)接收到的數(shù)據(jù)流的協(xié)議類型確定郵件流量參數(shù)�����。由上可見�����,當(dāng)接收到的數(shù)據(jù)流中包含除郵件流量的其他數(shù)據(jù)流量時(shí)���,根據(jù)數(shù)據(jù)流的協(xié)議類型可以確定出接收到的數(shù)據(jù)流中包含的郵件流量���,從而可以準(zhǔn)確地確定郵件流量參數(shù)�����,使郵件攻擊的檢測結(jié)果更為準(zhǔn)確�。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的附圖作簡單地介紹,顯而易見地���,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動(dòng)的前提下����,還可以根據(jù)這些附圖獲得其他的附圖。圖1是本發(fā)明一個(gè)實(shí)施例中的檢測郵件攻擊的方法流程示意圖��;圖2是本發(fā)明另一個(gè)實(shí)施例中的檢測郵件攻擊的方法流程示意圖����;圖3是本發(fā)明另一個(gè)實(shí)施例中的檢測郵件攻擊的方法流程示意圖;圖4是本發(fā)明一個(gè)實(shí)施例中的網(wǎng)絡(luò)架構(gòu)示意圖����;圖5是本發(fā)明一個(gè)實(shí)施例中的監(jiān)控表項(xiàng)示意圖;圖6是本發(fā)明一個(gè)實(shí)施例中的檢測郵件攻擊的裝置結(jié)構(gòu)示意圖��;圖7是本發(fā)明一個(gè)實(shí)施例中的第一獲得單元601的結(jié)構(gòu)示意圖�;圖8是本發(fā)明另一個(gè)實(shí)施例中的檢測郵件攻擊的裝置結(jié)構(gòu)示意圖�;圖9是本發(fā)明另一個(gè)實(shí)施例中的檢測郵件攻擊的裝置結(jié)構(gòu)示意圖��;圖10是本發(fā)明一個(gè)實(shí)施例中的檢測郵件攻擊的設(shè)備結(jié)構(gòu)示意圖����。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完整的描述���,顯然����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例��,而不是全部的實(shí)施例�。基于本發(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�,都屬于本發(fā)明保護(hù)的范圍�����。郵件攻擊的攻擊方經(jīng)常采用一些郵件攻擊軟件來對(duì)目標(biāo)電子郵箱進(jìn)行郵件攻擊。對(duì)目標(biāo)電子郵箱進(jìn)行郵件攻擊時(shí)���,會(huì)向目標(biāo)電子郵箱發(fā)送大量的郵件或是發(fā)送容量很大的郵件����,使目標(biāo)電子郵箱的空間被占用完���,無法接收新的郵件�����,無法正常使用����。甚至有些郵件攻擊會(huì)通過控制僵尸網(wǎng)絡(luò)向目標(biāo)電子郵箱發(fā)送大量的郵件�,占用網(wǎng)絡(luò)資源,影響其他電子郵箱正常的收發(fā)郵件��。經(jīng)過對(duì)大量的郵件攻擊進(jìn)行分析��,本發(fā)明的發(fā)明人發(fā)現(xiàn)�����,郵件攻擊中的郵件大都是隨機(jī)產(chǎn)生或者是隨意編寫的,很難從中提煉出特征字段����,因此要利用現(xiàn)有的基于特征字段的流量檢測來檢測郵件攻擊并不可行。另外���,由于郵件攻擊會(huì)有基于小流量的洪量攻擊(flood攻擊)�����,還有一些正常流量數(shù)據(jù)也可能會(huì)在短時(shí)間內(nèi)流量很大�,因此通過異常流量檢測的方式也不能準(zhǔn)確的檢測出郵件攻擊����。經(jīng)過深入的分析發(fā)現(xiàn),郵件攻擊存在一些共同的特征���,如目標(biāo)郵箱確定�����,即收件人郵箱地址確定�����;數(shù)據(jù)流的協(xié)議類型屬于郵件協(xié)議類型���,例如,簡單郵件傳輸協(xié)議(英文全稱為Simple Mail Transfer Protocol,簡稱SMTP協(xié)議)類型�,并且是基于傳輸控制協(xié)議(英文全稱為Transmission ControlProtocol,簡稱TCP協(xié)議)采用的真實(shí)通信連接;發(fā)生郵件攻擊時(shí)����,同一個(gè)郵件服務(wù)器一定時(shí)間周期內(nèi)接收到的郵件數(shù)目較多。另外��,�,發(fā)生郵件攻擊時(shí)發(fā)出的垃圾郵件,也有一些共同的特征��,如郵件的收件人郵箱地址和發(fā)件人郵箱地址相同�,或者郵件的文本內(nèi)容相似等?����?梢岳斫獾氖?��,本領(lǐng)域的技術(shù)人員可以從上述特征中推導(dǎo)出其他更多的特征�,在此不一一進(jìn)行論述。針對(duì)這些郵件攻擊時(shí)的共同特征��,本發(fā)明提出了能夠準(zhǔn)確識(shí)別郵件攻擊的技術(shù)方案�,能夠檢測出郵件攻擊,這樣被攻擊的目標(biāo)電子郵箱就不會(huì)受到攻擊��,可以正常使用��,也不會(huì)影響網(wǎng)絡(luò)中其他電子郵箱的正常使用�。如圖1所示,為本發(fā)明檢測郵件攻擊的方法的一個(gè)實(shí)施例�,其具體處理過程如下:步驟101:接收數(shù)據(jù)流。步驟102���,獲得預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)�����,其中�,在每個(gè)統(tǒng)計(jì)周期內(nèi)����,根據(jù)接收到的數(shù)據(jù)流的協(xié)議類型確定每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)�����。本實(shí)施例的執(zhí)行主體可以是現(xiàn)有網(wǎng)絡(luò)中的郵件服務(wù)器或網(wǎng)關(guān)設(shè)備��。本發(fā)明實(shí)施例中,根據(jù)接收到的數(shù)據(jù)流的協(xié)議類型確定每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)可以采用下述方法:分析每個(gè)統(tǒng)計(jì)周期內(nèi)接收到的數(shù)據(jù)流的協(xié)議類型����,當(dāng)協(xié)議類型屬于郵件協(xié)議類型時(shí),確定數(shù)據(jù)流為郵件����,根據(jù)確定的郵件獲得每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)。上述郵件協(xié)議類型可以為SMTP協(xié)議�,郵局協(xié)議(英文全稱為Post OfficeProtocol3,簡稱POP3協(xié)議),互聯(lián)網(wǎng)信息訪問協(xié)議(英文全稱為Internet MessageAccessProtocol�����,簡稱IMAP協(xié)議)��,本發(fā)明實(shí)施例以SMTP協(xié)議為例進(jìn)行說明����。上述郵件流量參數(shù)可以包括:郵件數(shù)量或新建的用于傳輸郵件的SMTP連接數(shù)或用于傳輸郵件的SMTP并發(fā)連接增加數(shù)�。步驟103����,當(dāng)預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)均與第一閾值相匹配時(shí),確定檢測到郵件攻擊��。當(dāng)確定檢測到郵件攻擊后�����,可以采取相應(yīng)的防范措施�,具體可以采取下述三種防范措施:當(dāng)確定檢測到郵件攻擊后,針對(duì)郵件服務(wù)器進(jìn)行限流�����,從而避免郵件攻擊所引起的網(wǎng)絡(luò)阻塞���;或者����,當(dāng)確定檢測到郵件攻擊后��,進(jìn)一步確定郵件攻擊的目標(biāo)地址,即確定郵件攻擊所攻擊的郵箱地址�,以便針對(duì)確定出的目標(biāo)地址進(jìn)行限流;或者�,當(dāng)確定檢測到郵件攻擊后,先進(jìn)一步確定郵件攻擊的目標(biāo)地址���,然后再確定郵件攻擊的攻擊方IP地址�����,以便針對(duì)確定出的攻擊方IP地址進(jìn)行限流�����,例如,阻止該攻擊方IP地址發(fā)送郵件��。其中����,當(dāng)采取上述第一種防范措施時(shí),可以在確定檢測到郵件攻擊后立即進(jìn)行����。當(dāng)采取上述第二種防范措施時(shí),在確定檢測到郵件攻擊之后,由于還要確定郵件攻擊的目標(biāo)地址����,因此本發(fā)明實(shí)施例進(jìn)一步還可以包括確定目標(biāo)地址的處理流程:先獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所接收到的郵件的收件人郵箱地址,然后統(tǒng)計(jì)獲得的每個(gè)收件人郵箱地址在每個(gè)檢測周期的出現(xiàn)次數(shù)����,再將在預(yù)定數(shù)目個(gè)檢測周期內(nèi)任一檢測周期中的出現(xiàn)次數(shù)超過第二閾值的收件人郵箱地址確定為郵件攻擊的目標(biāo)地址。當(dāng)采取上述第三種防范措施時(shí)�����,在確定檢測到郵件攻擊之后�,不僅要確定郵件攻擊的目標(biāo)地址,還要確定郵件攻擊的攻擊方IP地址�����,因此本發(fā)明實(shí)施例除了包括確認(rèn)目標(biāo)地址的處理流程(該處理流程與采取第二防范措施中的處理流程類似��,在些不再進(jìn)行描述)夕卜�����,進(jìn)一步還可以包括確定攻擊方IP地址的處理流程:在獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所接收到的郵件的收件人郵箱地址的同時(shí)�,獲得郵件的發(fā)件人IP地址�,并建立每個(gè)檢測周期中收件人郵箱地址和發(fā)件人IP地址的對(duì)應(yīng)關(guān)系�,然后在確定郵件攻擊的目標(biāo)地址之后,根據(jù)對(duì)應(yīng)關(guān)系統(tǒng)計(jì)目標(biāo)地址對(duì)應(yīng)的每個(gè)發(fā)件人IP地址的出現(xiàn)次數(shù)����,再將出現(xiàn)次數(shù)超過第三閾值的發(fā)件人IP地址確定為郵件攻擊的攻擊方IP地址。本發(fā)明實(shí)施例中���,可以在檢測郵件攻擊前��,預(yù)先設(shè)定上述第一閾值為一固定數(shù)值���,進(jìn)一步還可以在檢測郵件攻擊的過程中,當(dāng)郵件流量參數(shù)與第一閾值不相匹配時(shí)����,根據(jù)郵件流量參數(shù)調(diào)整第一閾值����,以使后續(xù)可以根據(jù)調(diào)整后的第一閾值檢測郵件攻擊。 由上可見���,本發(fā)明實(shí)施例的檢測郵件攻擊的方法中���,先要確定郵件流量參數(shù)�,然后根據(jù)確定出的郵件流量參數(shù)�,確定檢測到郵件攻擊。確定郵件流量參數(shù)時(shí)需要根據(jù)接收到的數(shù)據(jù)流的協(xié)議類型來確定�����。當(dāng)接收到的數(shù)據(jù)流中包含除郵件流量的其他數(shù)據(jù)流量時(shí)����,根據(jù)數(shù)據(jù)流的協(xié)議類型可以確定出接收到的數(shù)據(jù)流中包含的郵件流量,從而可以準(zhǔn)確地確定郵件流量參數(shù)�����,相應(yīng)地�,郵件攻擊的檢測結(jié)果更為準(zhǔn)確。如圖2所示�����,為本發(fā)明檢測郵件攻擊的方法的另一個(gè)實(shí)施例�,該實(shí)施例中,在確定檢測到郵件攻擊之后�,還要進(jìn)一步確定郵件攻擊的目標(biāo)地址��,其具體處理過程如下:步驟201����,接收數(shù)據(jù)流��。步驟202�����,獲得預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)�����,其中�����,在每個(gè)統(tǒng)計(jì)周期內(nèi)��,根據(jù)接收到的數(shù)據(jù)流的協(xié)議類型確定每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)����。本實(shí)施例的執(zhí)行主體可以是現(xiàn)有網(wǎng)絡(luò)中的郵件服務(wù)器或網(wǎng)關(guān)設(shè)備�。本發(fā)明實(shí)施例中���,根據(jù)接收到的數(shù)據(jù)流的協(xié)議類型確定每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)可以采用下述方法:分析每個(gè)統(tǒng)計(jì)周期內(nèi)接收到的數(shù)據(jù)流的協(xié)議類型,當(dāng)協(xié)議類型屬于郵件協(xié)議類型時(shí)��,確定數(shù)據(jù)流為郵件����,根據(jù)確定的郵件獲得每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)。上述郵件流量參數(shù)可以包括:郵件數(shù)量或新建的用于傳輸郵件的SMTP連接數(shù)或用于傳輸郵件的SMTP并發(fā)連接增加數(shù)�����。步驟203����,當(dāng)每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)均與第一閾值相匹配時(shí),確定檢測到郵件攻擊����。由于正常情況下郵件流量參數(shù)的數(shù)值是平穩(wěn)變化的,當(dāng)受到郵件攻擊時(shí)郵件流量參數(shù)的數(shù)值會(huì)發(fā)生明顯的突變�����,因此可以預(yù)先設(shè)定郵件流量參數(shù)的參考值��,參考值即上述
第一閾值。本發(fā)明實(shí)施例中��,可以在檢測郵件攻擊前�,預(yù)先設(shè)定第一閾值為一固定數(shù)值,進(jìn)一步還可以在檢測郵件攻擊的過程中�,當(dāng)郵件流量參數(shù)與第一閾值不相匹配時(shí),根據(jù)郵件流量參數(shù)調(diào)整第一閾值�,以使后續(xù)可以根據(jù)調(diào)整后的第一閾值檢測郵件攻擊。郵件流量參數(shù)與第一閾值不相匹配具體可以包括:郵件流量參數(shù)不超過第一閾值�����,例如��,當(dāng)郵件流量參數(shù)為郵件數(shù)目�,第一閾值為100時(shí),若確定出的郵件數(shù)量為10,由于郵件數(shù)量不超過第一閾值,則表示郵件流量參數(shù)與第一閾值不相匹配��,若確定出的郵件數(shù)量為200���,由于郵件數(shù)量超過第一閾值���,則表示郵件流量參數(shù)與第一閾值匹配。第一閾值的確定方法具體可以包括如下處理流程:在檢測郵件攻擊前��,通過流量學(xué)習(xí)�、流量建模和模型輸出的過程,確定第一閾值的初始值�����,其中���,上述第一閾值的初始值為一固定數(shù)值���,通常將這一過程稱為檢測郵件攻擊前的學(xué)習(xí)階段,在學(xué)習(xí)階段完成后才能檢測郵件攻擊����,即進(jìn)入工作狀態(tài)。在檢測郵件攻擊時(shí)���,在一個(gè)統(tǒng)計(jì)周期內(nèi)���,根據(jù)接收到的數(shù)據(jù)流的協(xié)議類型確定一個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù),當(dāng)確定出的郵件流量參數(shù)與第一閾值不相匹配時(shí)�����,根據(jù)郵件流量參數(shù)調(diào)整第一閾值,其中����,可以基于上述學(xué)習(xí)階段確定出的第一閾值的初始值,根據(jù)郵件流量參數(shù)調(diào)整第一閾值���。步驟204�����,獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所接收到的郵件的收件人郵箱地址�。本發(fā)明實(shí)施例中���,可以在接收到郵件后��,對(duì)郵件進(jìn)行內(nèi)容分析����,從而獲得郵件的收件人郵箱地址�����。步驟205,統(tǒng)計(jì)獲得的每個(gè)收件人郵箱地址在每個(gè)檢測周期的出現(xiàn)次數(shù)����。本發(fā)明實(shí)施例中�,可以在獲得郵件的收件人郵箱地址后,對(duì)收件人郵箱地址進(jìn)行標(biāo)準(zhǔn)化處理����,轉(zhuǎn)換成同一種大小寫模式,然后在已存儲(chǔ)的收件人郵箱地址中進(jìn)行查找��,若未查找到該收件人郵箱地址�����,則存儲(chǔ)該收件人郵箱地址���,并將該收件人郵箱地址的出現(xiàn)次數(shù)初始化為1���,若查找到該收件人郵箱地址,則將該收件人郵箱地址的出現(xiàn)次數(shù)加I����。步驟206,將在預(yù)定數(shù)目個(gè)檢測周期內(nèi)任一檢測周期中的出現(xiàn)次數(shù)超過第二閾值的收件人郵箱地址確定為郵件攻擊的目標(biāo)地址。當(dāng)在預(yù)定數(shù)目個(gè)檢測周期內(nèi)任一檢測周期中均未檢測出目標(biāo)地址時(shí)����,確認(rèn)未發(fā)生郵件攻擊。由上可見���,本發(fā)明實(shí)施例的檢測郵件攻擊的方法中�����,不僅檢測結(jié)果更為準(zhǔn)確��,而且在確定檢測到郵件攻擊之后�����,還進(jìn)一步確定出了郵件攻擊的目標(biāo)地址�,從而可以針對(duì)確定出的目標(biāo)地址���,采取限流等防范措施����。如圖3所示�,為本發(fā)明檢測郵件攻擊的方法的另一個(gè)實(shí)施例���,該實(shí)施例中在確定檢測到郵件攻擊之后,先進(jìn)一步確定郵件攻擊的目標(biāo)地址���,然后再確定郵件攻擊的攻擊方IP地址��,其具體處理過程如下:步驟301�����,分析每個(gè)統(tǒng)計(jì)周期內(nèi)接收到的數(shù)據(jù)流的協(xié)議類型,當(dāng)協(xié)議類型屬于郵件協(xié)議類型時(shí)��,確定數(shù)據(jù)流為郵件��。本實(shí)施例的執(zhí)行主體可以是現(xiàn)有網(wǎng)絡(luò)中的郵件服務(wù)器或網(wǎng)關(guān)設(shè)備��。步驟302�����,根據(jù)確定的郵件獲得每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)���。步驟303����,判斷預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)是否每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)均與第一閾值相匹配,若判斷結(jié)果為是����,則執(zhí)行步驟304 ;若判斷結(jié)果為否,則結(jié)束當(dāng)前流程����。步驟304,獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所接收到的郵件的收件人郵箱地址和發(fā)件人IP地址���,并建立兩者的對(duì)應(yīng)關(guān)系�����。上述對(duì)應(yīng)關(guān)系為每個(gè)檢測周期中收件人郵箱地址和發(fā)件人IP地址的對(duì)應(yīng)關(guān)系��。本實(shí)施例中�����,可以在每個(gè)檢測周期中建立一個(gè)監(jiān)控表項(xiàng)�,上述監(jiān)控表項(xiàng)用于存儲(chǔ)該檢測周期內(nèi)接收到的郵件的收件人郵箱地址與發(fā)件人IP地址的對(duì)應(yīng)關(guān)系��。在每個(gè)檢測周期中,接收到郵件后����,可以先獲得郵件的收件人郵箱地址和發(fā)件人IP地址。對(duì)于獲得的每個(gè)收件人郵箱地址���,可以在建立的監(jiān)控表項(xiàng)中查找是否存在該收件人郵箱地址對(duì)應(yīng)的哈希節(jié)點(diǎn)����,若查找結(jié)果為不存在該收件人郵箱地址對(duì)應(yīng)的哈希節(jié)點(diǎn)��,則建立該收件人郵箱地址對(duì)應(yīng)的哈希節(jié)點(diǎn)�����。其中����,可以在每個(gè)收件人郵箱地址對(duì)應(yīng)的哈希節(jié)點(diǎn)中存儲(chǔ)該收件人郵箱地址和該收件人郵箱地址在檢測周期的出現(xiàn)次數(shù)����,同時(shí)在該哈希節(jié)點(diǎn)的從屬節(jié)點(diǎn)中保存發(fā)件人IP地址和該發(fā)件人IP地址在檢測周期中的出現(xiàn)次數(shù)。步驟305���,統(tǒng)計(jì)獲得的每個(gè)收件人郵箱地址在每個(gè)檢測周期的出現(xiàn)次數(shù)���。本實(shí)施例中�,每個(gè)收件人郵箱地址在每個(gè)檢測周期內(nèi)出現(xiàn)次數(shù)初始數(shù)值為I ;若查找監(jiān)控表項(xiàng)的結(jié)果為存在該收件人郵箱地址對(duì)應(yīng)的哈希節(jié)點(diǎn)�,則將查找到的哈希節(jié)點(diǎn)中存儲(chǔ)的收件人郵箱地址在檢測周期的出現(xiàn)次數(shù)加一,當(dāng)一個(gè)檢測周期結(jié)束時(shí)���,根據(jù)建立的監(jiān)控表項(xiàng)統(tǒng)計(jì)每個(gè)收件人郵箱地址在每個(gè)檢測周期的出現(xiàn)次數(shù)��。步驟306����,將在預(yù)定數(shù)目個(gè)檢測周期內(nèi)任一檢測周期中的出現(xiàn)次數(shù)超過第二閾值的收件人郵箱地址確定為郵件攻擊的目標(biāo)地址���。步驟307��,根據(jù)對(duì)應(yīng)關(guān)系統(tǒng)計(jì)目標(biāo)地址對(duì)應(yīng)的每個(gè)發(fā)件人IP地址的出現(xiàn)次數(shù)�����。本實(shí)施例中�����,在確定了郵件攻擊的目標(biāo)地址后�����,可以遍歷該目標(biāo)地址對(duì)應(yīng)的哈希節(jié)點(diǎn)的所有從屬節(jié)點(diǎn)���,統(tǒng)計(jì)目標(biāo)地址對(duì)應(yīng)的每個(gè)發(fā)件人IP地址的出現(xiàn)次數(shù)�。步驟308�����,將出現(xiàn)次數(shù)超過第三閾值的發(fā)件人IP地址確定為郵件攻擊的攻擊方IP地址,結(jié)束當(dāng)前流程����。由上可見,本發(fā)明實(shí)施例的檢測郵件攻擊的方法中���,不僅檢測結(jié)果更為準(zhǔn)確,而且在確定檢測到郵件攻擊之后����,先進(jìn)一步確定郵件攻擊的目標(biāo)地址,然后再確定郵件攻擊的攻擊方IP地址�����,以便針對(duì)該攻擊方IP地址進(jìn)行限流,例如���,阻止該攻擊方IP地址發(fā)送郵件�����,從而使得防范郵件攻擊時(shí)更有針對(duì)性�,也更有效�。如圖4所示,為本發(fā)明檢測郵件攻擊的方法的網(wǎng)絡(luò)架構(gòu)示意圖�����,其中�����,郵件服務(wù)器404負(fù)責(zé)電子郵件收發(fā)管理��,攻擊方設(shè)備401通過一個(gè)主控主機(jī)402和多個(gè)受控主機(jī)403發(fā)起郵件攻擊��,由于存在多個(gè)受控主機(jī)作為攻擊主機(jī),因此圖4示出的郵件攻擊方式屬于分布式拒絕服務(wù)(英文全稱為Distributed Denial of Service,簡稱DDoS)攻擊,需要說明的是�,圖4示出的DDoS攻擊方式僅為一種示例,對(duì)于其他類型的郵件攻擊方式也可以采用本發(fā)明實(shí)施例進(jìn)行檢測�,對(duì)此本發(fā)明實(shí)施例不進(jìn)行限制?��;趫D4所示的網(wǎng)絡(luò)架構(gòu)��,本發(fā)明的另一個(gè)實(shí)施例中可以采用下述處理方法:先獲得預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件數(shù)量�,其中�����,在一個(gè)統(tǒng)計(jì)周期內(nèi)����,根據(jù)接收到的數(shù)據(jù)流的協(xié)議類型確定一個(gè)統(tǒng)計(jì)周期的郵件數(shù)量,當(dāng)每個(gè)統(tǒng)計(jì)周期的郵件數(shù)量均與第一閾值相匹配時(shí)�,確定檢測到郵件攻擊,然后進(jìn)入檢測模式����,在每個(gè)檢測周期中建立一個(gè)監(jiān)控表項(xiàng)���,上述監(jiān)控表項(xiàng)用于存儲(chǔ)該檢測周期內(nèi)接收到的郵件的收件人郵箱地址與發(fā)件人IP地址的對(duì)應(yīng)關(guān)系���。在一個(gè)檢測周期中�����,接收到郵件后����,先獲得郵件的收件人郵箱地址和發(fā)件人IP地址�����。對(duì)于獲得的每個(gè)收件人郵箱地址���,在建立的監(jiān)控表項(xiàng)中查找是否存在該收件人郵箱地址對(duì)應(yīng)的哈希節(jié)點(diǎn)�����,若查找結(jié)果為不存在該收件人郵箱地址對(duì)應(yīng)的哈希節(jié)點(diǎn)�����,則建立該收件人郵箱地址對(duì)應(yīng)的哈希節(jié)點(diǎn)���,在該哈希節(jié)點(diǎn)中存儲(chǔ)該收件人郵箱地址和該收件人郵箱地址在檢測周期的出現(xiàn)次數(shù)�,出現(xiàn)次數(shù)初始數(shù)值為I ;若查找結(jié)果為存在該收件人郵箱地址對(duì)應(yīng)的哈希節(jié)點(diǎn)����,則將查找到的哈希節(jié)點(diǎn)中存儲(chǔ)的收件人郵箱地址在檢測周期的出現(xiàn)次數(shù)加一。同時(shí)在該哈希節(jié)點(diǎn)的從屬節(jié)點(diǎn)中保存發(fā)件人IP地址和該發(fā)件人IP地址在檢測周期中的出現(xiàn)次數(shù)����,在檢測周期內(nèi)進(jìn)行表項(xiàng)數(shù)據(jù)的刷新,當(dāng)一個(gè)檢測周期結(jié)束時(shí)��,根據(jù)建立的監(jiān)控表項(xiàng)獲得每個(gè)收件人郵箱地址在該檢測周期的出現(xiàn)次數(shù)�,將在檢測周期內(nèi)出現(xiàn)次數(shù)超過第二閾值的收件人郵箱地址確定為郵件攻擊的目標(biāo)地址,然后再遍歷該目標(biāo)地址對(duì)應(yīng)的哈希節(jié)點(diǎn)的所有從屬節(jié)點(diǎn)�,將出現(xiàn)次數(shù)(即發(fā)送給目標(biāo)地址的郵件數(shù)目)超過第三閾值的發(fā)件人IP地址確定為郵件攻擊的攻擊方IP地址。如圖5所示���,為本發(fā)明上述檢測郵件攻擊的方法實(shí)施例中所建立的監(jiān)控表項(xiàng)示意圖����,圖中D代表收件人郵箱地址�����,Total (D)代表收件人郵箱地址D在檢測周期的出現(xiàn)次數(shù),D所對(duì)應(yīng)的哈希節(jié)點(diǎn)共有三個(gè)從屬節(jié)點(diǎn)�,分別存儲(chǔ)發(fā)件人IP地址IPl和其在該檢測周期中的出現(xiàn)次數(shù)MCount(IPl)��、發(fā)件人IP地址IP2和其在該檢測周期中的出現(xiàn)次數(shù)MCount (IP2)以及發(fā)件人IP地址IP3和其在該檢測周期中的出現(xiàn)次數(shù)MCount (IP3);圖中M代表另一個(gè)收件人郵箱地址�����,Total (M)代表收件人郵箱地址M在檢測周期的出現(xiàn)次數(shù)��,M所對(duì)應(yīng)的哈希節(jié)點(diǎn)共有4個(gè)從屬節(jié)點(diǎn)�,分別存儲(chǔ)發(fā)件人IP地址IP4和其在該檢測周期中的出現(xiàn)次數(shù)MCount (IP4)、發(fā)件人IP地址IP5和其在該檢測周期中的出現(xiàn)次數(shù)MCount (IP5)���、發(fā)件人IP地址IP6和其在該檢測周期中的出現(xiàn)次數(shù)MCount (IP6)以及發(fā)件人IP地址IP7和其在該檢測周期中的出現(xiàn)次數(shù)MCount (IP7)�����。與本發(fā)明檢測郵件攻擊的方法的實(shí)施例相對(duì)應(yīng)����,本發(fā)明還提供了檢測郵件攻擊的裝置及設(shè)備的實(shí)施例����。如圖6所示為本發(fā)明檢測郵件攻擊的裝置的一個(gè)實(shí)施例����,所述裝置包括:接收單元601���、第一獲得單元602和確定單元603�。其中�����,接收單元601��,用于接收數(shù)據(jù)流����;第一獲得單元602,用于獲得預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)��,其中�����,在每個(gè)統(tǒng)計(jì)周期內(nèi)����,根據(jù)所述接收單元601接收到的數(shù)據(jù)流的協(xié)議類型確定所述每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)���;確定單元603,用于當(dāng)所述第一獲得單元602獲得的預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)均與第一閾值相匹配時(shí)�,確定檢測到郵件攻擊。采用本發(fā)明實(shí)施例的檢測郵件攻擊的檢測裝置�����,由第一獲得單元602獲得郵件流量參數(shù)�,然后由確定單元603根據(jù)第一獲得單元602獲得的郵件流量參數(shù)�����,確定檢測到郵件攻擊����,其中,第一獲得單元602根據(jù)接收到的數(shù)據(jù)流的協(xié)議類型確定郵件流量參數(shù)�。由上可見,當(dāng)接收到的數(shù)據(jù)流中包含除郵件流量的其他數(shù)據(jù)流量時(shí)��,第一獲得單元602根據(jù)數(shù)據(jù)流的協(xié)議類型可以確定出接收到的數(shù)據(jù)流中包含的郵件流量����,從而可以準(zhǔn)確地確定郵件流量參數(shù)�,使確定單元603確定檢測到郵件攻擊的檢測結(jié)果更為準(zhǔn)確����。如圖7所示為上述第一獲得單元602的一個(gè)具體的實(shí)施例,所述第一獲得單元602包括:協(xié)議類型分析子單元6021��、郵件確定子單元6022和參數(shù)獲得子單元6023�。其中,協(xié)議類型分析子單元6021�����,用于在每個(gè)統(tǒng)計(jì)周期內(nèi)���,分析所述每個(gè)統(tǒng)計(jì)周期內(nèi)接收到的數(shù)據(jù)流的協(xié)議類型�;郵件確定子單元6022�,用于當(dāng)所述協(xié)議類型分析子單元6021分析出的數(shù)據(jù)流的協(xié)議類型屬于郵件協(xié)議類型時(shí),確定所述數(shù)據(jù)流為郵件����;參數(shù)獲得子單元6023,用于根據(jù)所述郵件確定子單�����,6022所確定的郵件獲得所述每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)。在上述檢測郵件攻擊的檢測裝置的一個(gè)具體的實(shí)施例中����,所述第一獲得單元602獲得的郵件流量參數(shù)包括:郵件數(shù)量;或新建的用于傳輸郵件的SMTP連接數(shù)���;或用于傳輸郵件的SMTP并發(fā)連接增加數(shù)���。如圖8所示為本發(fā)明檢測郵件攻擊的裝置的另一個(gè)實(shí)施例����,所述裝置包括:接收單元801、第一獲得單元802�、確定單元803、第二獲得單元804�、第一統(tǒng)計(jì)單元805和目標(biāo)地址確定單元806。其中����,接收單元801�,用于接收數(shù)據(jù)流;第一獲得單元802�,用于獲得預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)���,其中,在每個(gè)統(tǒng)計(jì)周期內(nèi)����,根據(jù)所述接收單元801接收到的數(shù)據(jù)流的協(xié)議類型確定所述每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù);確定單元803��,用于當(dāng)所述第一獲得單元802獲得的預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)均與第一閾值相匹配時(shí)�,確定檢測到郵件攻擊;第二獲得單元804��,用于在所述確定單元803確定檢測到郵件攻擊之后���,獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所接收到的郵件的收件人郵箱地址��;第一統(tǒng)計(jì)單元805�����,用于統(tǒng)計(jì)所述第二獲得單元804獲得的每個(gè)收件人郵箱地址在所述每個(gè)檢測周期的出現(xiàn)次數(shù)�;目標(biāo)地址確定單元806��,用于將所述第一統(tǒng)計(jì)單元805統(tǒng)計(jì)的在所述預(yù)定數(shù)目個(gè)檢測周期內(nèi)任一檢測周期中的出現(xiàn)次數(shù)超過第二閾值的收件人郵箱地址確定為郵件攻擊的目標(biāo)地址。如圖9所示為本發(fā)明檢測郵件攻擊的裝置的另一個(gè)實(shí)施例���,所述裝置包括:接收單元901����、第一獲得單元902����、確定單元903、第二獲得單元904�����、第一統(tǒng)計(jì)單元905���、目標(biāo)地址確定單元906、第三獲得單元907���、對(duì)應(yīng)關(guān)系建立單元908���、第二統(tǒng)計(jì)單元909和攻擊方地址確定單元910。其中�,接收單元901,用于接收數(shù)據(jù)流;第一獲得單元902�����,用于獲得預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)����,其中,在每個(gè)統(tǒng)計(jì)周期內(nèi)���,根據(jù)所述接收單元901接收到的數(shù)據(jù)流的協(xié)議類型確定所述每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)�����;確定單元903���,用于當(dāng)所述第一獲得單元902獲得的預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)均與第一閾值相匹配時(shí),確定檢測到郵件攻擊����;第二獲得單元904,用于在所述確定單元903確定檢測到郵件攻擊之后�,獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所接收到的郵件的收件人郵箱地址;第一統(tǒng)計(jì)單元905�,用于統(tǒng)計(jì)所述第二獲得單元904獲得的每個(gè)收件人郵箱地址在所述每個(gè)檢測周期的出現(xiàn)次數(shù)��;目標(biāo)地址確定單元906��,用于將所述第一統(tǒng)計(jì)單元905統(tǒng)計(jì)的在所述預(yù)定數(shù)目個(gè)檢測周期內(nèi)任一檢測周期中的出現(xiàn)次數(shù)超過第二閾值的收件人郵箱地址確定為郵件攻擊的目標(biāo)地址�;第三獲得單元907���,用于在所述第二獲得單元904獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所接收到的郵件的收件人郵箱地址的同時(shí)�����,獲得所述郵件的發(fā)件人IP地址��;對(duì)應(yīng)關(guān)系建立單元908�����,用于建立所述每個(gè)檢測周期中所述第二獲得單元904獲得的收件人郵箱地址和所述第三獲得單元907獲得的發(fā)件人IP地址的對(duì)應(yīng)關(guān)系��;第二統(tǒng)計(jì)單元909,用于在所述目標(biāo)地址確定單元906確定目標(biāo)地址之后���,根據(jù)所述對(duì)應(yīng)關(guān)系建立單元908建立的對(duì)應(yīng)關(guān)系統(tǒng)計(jì)所述目標(biāo)地址對(duì)應(yīng)的每個(gè)發(fā)件人IP地址的出現(xiàn)次數(shù)��;
攻擊方地址確定單元910�,用于將所述第二統(tǒng)計(jì)單元909統(tǒng)計(jì)的出現(xiàn)次數(shù)超過第三閾值的發(fā)件人IP地址確定為所述郵件攻擊的攻擊方IP地址。如圖10所示為本發(fā)明檢測郵件攻擊的設(shè)備的一個(gè)實(shí)施例��,所述設(shè)備包括:網(wǎng)絡(luò)接口 1001和處理器1002�。其中,網(wǎng)絡(luò)接口 1001���,用于接收數(shù)據(jù)流��;處理器1002�,用于獲得預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)���,其中����,在每個(gè)統(tǒng)計(jì)周期內(nèi)����,根據(jù)所述網(wǎng)絡(luò)接口 1001接收到的數(shù)據(jù)流的協(xié)議類型確定所述每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù),當(dāng)所述預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)均與第一閾值相匹配時(shí)��,確定檢測到郵件攻擊����。在上述本發(fā)明檢測郵件攻擊的設(shè)備的一個(gè)具體的實(shí)施例中���,所述處理器1002可以具體用于:在每個(gè)統(tǒng)計(jì)周期內(nèi),分析所述每個(gè)統(tǒng)計(jì)周期內(nèi)所述網(wǎng)絡(luò)接口接收到的數(shù)據(jù)流的協(xié)議類型���,當(dāng)所述協(xié)議類型屬于郵件協(xié)議類型時(shí)�����,確定所述數(shù)據(jù)流為郵件��,根據(jù)確定的郵件獲得所述每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)���。在上述本發(fā)明檢測郵件攻擊的設(shè)備的另一個(gè)具體的實(shí)施例中,所述處理器1002獲得的郵件流量參數(shù)包括:郵件數(shù)量�����;或新建的用于傳輸郵件的SMTP連接數(shù)����;或用于傳輸郵件的SMTP并發(fā)連接增加數(shù)。在上述本發(fā)明檢測郵件攻擊的設(shè)備的另一個(gè)具體的實(shí)施例中�,所述處理器1002還可以用于:在所述確定檢測到郵件攻擊之后���,獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所述網(wǎng)絡(luò)接口 1001所接收到的郵件的收件人郵箱地址��,統(tǒng)計(jì)獲得的每個(gè)收件人郵箱地址在所述每個(gè)檢測周期的出現(xiàn)次數(shù)����,將在所述預(yù)定數(shù)目個(gè)檢測周期內(nèi)任一檢測周期中的出現(xiàn)次數(shù)超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標(biāo)地址。在上述本發(fā)明檢測郵件攻擊的設(shè)備的另一個(gè)具體的實(shí)施例中�,所述處理器1002還可以用于:在所述獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所述網(wǎng)絡(luò)接口 1001所接收到的郵件的收件人郵箱地址的同時(shí),獲得所述郵件的發(fā)件人IP地址�,建立所述每個(gè)檢測周期中收件人郵箱地址和發(fā)件人IP地址的對(duì)應(yīng)關(guān)系,在所述將在所述預(yù)定數(shù)目個(gè)檢測周期內(nèi)任一檢測周期中的出現(xiàn)次數(shù)超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標(biāo)地址之后���,根據(jù)所述對(duì)應(yīng)關(guān)系統(tǒng)計(jì)所述目標(biāo)地址對(duì)應(yīng)的每個(gè)發(fā)件人IP地址的出現(xiàn)次數(shù)����,將出現(xiàn)次數(shù)超過第三閾值的發(fā)件人IP地址確定為所述郵件攻擊的攻擊方IP地址��。需要說明的是���,前述圖6中示出的檢測郵件攻擊的裝置可以集成在本實(shí)施例中示出的檢測郵件攻擊的設(shè)備中�。在實(shí)際應(yīng)用中�����,本發(fā)明實(shí)施例中的檢測郵件攻擊的設(shè)備可以具體為郵件服務(wù)器,或網(wǎng)關(guān)設(shè)備����。專業(yè)人員還可以進(jìn)一步應(yīng)能意識(shí)到,結(jié)合本文中所公開的實(shí)施例描述的各示例的單元及算法步驟��,能夠以電子硬件���、計(jì)算機(jī)軟件或者二者的結(jié)合來實(shí)現(xiàn)��,為了清楚地說明硬件和軟件的可互換性����,在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟���。這些功能究竟以硬件還是軟件方式來執(zhí)行�,取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件�����。專業(yè)技術(shù)人員可以對(duì)每個(gè)特定的應(yīng)用來使用不同方法來實(shí)現(xiàn)所描述的功能���,但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明實(shí)施例的范圍���。結(jié)合本文中所公開的實(shí)施例描述的方法或算法的步驟可以直接用硬件、處理器執(zhí)行的軟件模塊��,或者二者的結(jié)合來實(shí)施�。對(duì)所公開的實(shí)施例的上述說明,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明實(shí)施例���。對(duì)這些實(shí)施例的多種修改對(duì)本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的�,本文中所定義的一般原理可以在不脫離本發(fā)明實(shí)施例的精神或范圍的情況下�,在其他實(shí)施例中實(shí)現(xiàn)。因此�����,本發(fā)明實(shí)施例將不會(huì)被限制于本文所示的這些實(shí)施例���,而是要符合與本文所公開的原理和新穎特點(diǎn)相一致的最寬的范圍����。以上所述僅為本發(fā)明實(shí)施例的較佳實(shí)施例而已��,并不用以限制本發(fā)明實(shí)施例,凡在本發(fā)明實(shí)施例的精神和原則之內(nèi)���,所作的任何修改�����、等同替換���、改進(jìn)等,均應(yīng)包含在本發(fā)明實(shí)施例的保護(hù)范圍之內(nèi)�����。
權(quán)利要求
1.一種檢測郵件攻擊的方法���,其特征在于����,包括: 接收數(shù)據(jù)流���; 獲得預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)���,其中,在每個(gè)統(tǒng)計(jì)周期內(nèi),根據(jù)接收到的數(shù)據(jù)流的協(xié)議類型確定所述每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)����; 當(dāng)所述預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)均與第一閾值相匹配時(shí),確定檢測到郵件攻擊����。
2.如權(quán)利要求1所述的方法���,其特征在于����,所述根據(jù)接收到的數(shù)據(jù)流的協(xié)議類型確定所述每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)��,包括: 分析所述每個(gè)統(tǒng)計(jì)周期內(nèi)接收到的數(shù)據(jù)流的協(xié)議類型����; 當(dāng)所述協(xié)議類型屬于郵件協(xié)議類型時(shí),確定所述數(shù)據(jù)流為郵件���; 根據(jù)確定的郵件獲得所述每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)��。
3.如權(quán)利要求1或2所述的方法,其特征在于,所述郵件流量參數(shù)包括: 郵件數(shù)量�����;或 新建的用于傳輸郵件的簡單郵件傳輸協(xié)議SMTP連接數(shù)���;或 用于傳輸郵件的SMTP并發(fā)連接增加數(shù)����。
4.如權(quán)利要求1至3中任一權(quán)利要求所述的方法�,其特征在于,在所述確定檢測到郵件攻擊之后����,還包括: 獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所接收到的郵件的收件人郵箱地址; 統(tǒng)計(jì)獲得的每個(gè)收件人郵箱地址在所述每個(gè)檢測周期的出現(xiàn)次數(shù)�; 將在所述預(yù)定數(shù)目個(gè)檢測周期內(nèi)任一檢測周期中的出現(xiàn)次數(shù)超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標(biāo)地址。
5.如權(quán)利要求4所述的方法��,其特征在于�����,還包括: 在所述獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所接收到的郵件的收件人郵箱地址的同時(shí)����,獲得所述郵件的發(fā)件人網(wǎng)絡(luò)協(xié)議IP地址�; 建立所述每個(gè)檢測周期中收件人郵箱地址和發(fā)件人IP地址的對(duì)應(yīng)關(guān)系�; 在所述將在所述預(yù)定數(shù)目個(gè)檢測周期內(nèi)任一檢測周期中的出現(xiàn)次數(shù)超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標(biāo)地址之后,還包括: 根據(jù)所述對(duì)應(yīng)關(guān)系統(tǒng)計(jì)所述目標(biāo)地址對(duì)應(yīng)的每個(gè)發(fā)件人IP地址的出現(xiàn)次數(shù)��; 將出現(xiàn)次數(shù)超過第三閾值的發(fā)件人IP地址確定為所述郵件攻擊的攻擊方IP地址�����。
6.一種檢測郵件攻擊的裝置����,其特征在于��,包括: 接收單元����,用于接收數(shù)據(jù)流; 第一獲得單元�����,用于獲得預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)���,其中��,在每個(gè)統(tǒng)計(jì)周期內(nèi)�����,根據(jù)所述接收單元接收到的數(shù)據(jù)流的協(xié)議類型確定所述每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)���; 確定單元����,用于當(dāng)所述第一獲得單元獲得的預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)均與第一閾值相匹配時(shí)�,確定檢測到郵件攻擊。
7.如權(quán)利要求6所述的裝置���,其特征在于����,所述第一獲得單元包括: 協(xié)議類型分析子單元����,用于在每個(gè)統(tǒng)計(jì)周期內(nèi),分析所述每個(gè)統(tǒng)計(jì)周期內(nèi)接收到的數(shù)據(jù)流的協(xié)議類型�����;郵件確定子單元,用于當(dāng)所述協(xié)議類型分析子單元分析出的數(shù)據(jù)流的協(xié)議類型屬于郵件協(xié)議類型時(shí)��,確定所述數(shù)據(jù)流為郵件����; 參數(shù)獲得子單元,用于根據(jù)所述郵件確定子單元所確定的郵件獲得所述每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)���。
8.如權(quán)利要求6或7所述的裝置�,其特征在于���,還包括: 第二獲得單元��,用于在所述確定單元確定檢測到郵件攻擊之后���,獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所接收到的郵件的收件人郵箱地址��; 第一統(tǒng)計(jì)單元�,用于統(tǒng)計(jì)所述第二獲得單元獲得的每個(gè)收件人郵箱地址在所述每個(gè)檢測周期的出現(xiàn)次數(shù); 目標(biāo)地址確定單元�,用于將所述第一統(tǒng)計(jì)單元統(tǒng)計(jì)的在所述預(yù)定數(shù)目個(gè)檢測周期內(nèi)任一檢測周期中的出現(xiàn)次數(shù)超過第二閾值的收件人郵箱地址確定為郵件攻擊的目標(biāo)地址。
9.如權(quán)利要求8所述的裝置�����,其特征在于,還包括: 第三獲得單元��,用于在所述第二獲得單元獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所接收到的郵件的收件人郵箱地址的同時(shí)���,獲得所述郵件的發(fā)件人網(wǎng)絡(luò)協(xié)議IP地址��; 對(duì)應(yīng)關(guān)系建立單元��,用于建立所述每個(gè)檢測周期中所述第二獲得單元獲得的收件人郵箱地址和所述第三獲得單元獲得的發(fā)件人IP地址的對(duì)應(yīng)關(guān)系�����; 第二統(tǒng)計(jì)單元���,用于在所述目標(biāo)地址確定單元確定目標(biāo)地址之后,根據(jù)所述對(duì)應(yīng)關(guān)系建立單元建立的對(duì)應(yīng)關(guān)系統(tǒng)計(jì)所述目標(biāo)地址對(duì)應(yīng)的每個(gè)發(fā)件人IP地址的出現(xiàn)次數(shù)���; 攻擊方地址確定單元���,用于將所述第二統(tǒng)計(jì)單元統(tǒng)計(jì)的出現(xiàn)次數(shù)超過第三閾值的發(fā)件人IP地址確定為所述郵件攻擊的攻擊方IP地址。
10.一種檢測郵件攻擊的設(shè)備���,其特征在于�����,包括: 網(wǎng)絡(luò)接口��,用于接收數(shù)據(jù)流�����; 處理器�,用于獲得預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù),其中�����,在每個(gè)統(tǒng)計(jì)周期內(nèi)���,根據(jù)所述網(wǎng)絡(luò)接口接收到的數(shù)據(jù)流的協(xié)議類型確定所述每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)�,當(dāng)所述預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)均與第一閾值相匹配時(shí)�,確定檢測到郵件攻擊���。
11.如權(quán)利要求10所述的設(shè)備�����,其特征在于��,所述處理器具體用于:在每個(gè)統(tǒng)計(jì)周期內(nèi)�����,分析所述每個(gè)統(tǒng)計(jì)周期內(nèi)所述網(wǎng)絡(luò)接口接收到的數(shù)據(jù)流的協(xié)議類型��,當(dāng)所述協(xié)議類型屬于郵件協(xié)議類型時(shí)����,確定所述數(shù)據(jù)流為郵件,根據(jù)確定的郵件獲得所述每個(gè)統(tǒng)計(jì)周期內(nèi)的郵件流量參數(shù)���。
12.如權(quán)利要求10或11所述的設(shè)備����,其特征在于���,所述處理器還用于:在所述確定檢測到郵件攻擊之后����,獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所述網(wǎng)絡(luò)接口所接收到的郵件的收件人郵箱地址,統(tǒng)計(jì)獲得的每個(gè)收件人郵箱地址在所述每個(gè)檢測周期的出現(xiàn)次數(shù)�,將在所述預(yù)定數(shù)目個(gè)檢測周期內(nèi)任一檢測周期中的出現(xiàn)次數(shù)超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標(biāo)地址。
13.如權(quán)利要求12所述的設(shè)備�����,其特征在于���,所述處理器還用于:在所述獲得預(yù)定數(shù)目個(gè)檢測周期內(nèi)每個(gè)檢測周期所述網(wǎng)絡(luò)接口所接收到的郵件的收件人郵箱地址的同時(shí)��,獲得所述郵件的發(fā)件人網(wǎng)絡(luò)協(xié)議IP地址����,建立所述每個(gè)檢測周期中收件人郵箱地址和發(fā)件人IP地址的對(duì)應(yīng)關(guān)系�����,在所述將在所述預(yù)定數(shù)目個(gè)檢測周期內(nèi)任一檢測周期中的出現(xiàn)次數(shù)超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標(biāo)地址之后�����,根據(jù)所述對(duì)應(yīng)關(guān)系統(tǒng)計(jì)所述目標(biāo)地址對(duì)應(yīng)的每個(gè)發(fā)件人IP地址的出現(xiàn)次數(shù)����,將出現(xiàn)次數(shù)超過第三閾值的發(fā)件人IP地址確定為所述郵 件攻擊的攻擊方IP地址。
全文摘要
本發(fā)明實(shí)施例公開了一種檢測郵件攻擊的方法��、裝置及設(shè)備�����,該方法包括接收數(shù)據(jù)流����;獲得預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù),其中���,在每個(gè)統(tǒng)計(jì)周期內(nèi)�,根據(jù)接收到的數(shù)據(jù)流的協(xié)議類型確定所述每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)���;當(dāng)所述預(yù)定數(shù)目個(gè)統(tǒng)計(jì)周期內(nèi)每個(gè)統(tǒng)計(jì)周期的郵件流量參數(shù)均與第一閾值相匹配時(shí)��,確定檢測到郵件攻擊����。應(yīng)用本發(fā)明實(shí)施例���,可以使郵件攻擊的檢測結(jié)果更為準(zhǔn)確��。
文檔編號(hào)H04L12/58GK103078752SQ20121057928
公開日2013年5月1日 申請日期2012年12月27日 優(yōu)先權(quán)日2012年12月27日
發(fā)明者蔣武, 董興水 申請人:華為技術(shù)有限公司