(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111583901.4 (22)申请日 2021.12.2 2 (71)申请人 杭州美创科技有限公司 地址 310011 浙江省杭州市拱 墅区丰潭路 508号天行国际中心7号楼1201室 (72)发明人 覃锦端　刘隽良　柳遵梁　王月兵　 (74)专利代理 机构 杭州知学知识产权代理事务 所(普通合伙) 33356 代理人 张雯 (51)Int.Cl. H04L 9/40(2022.01) H04L 51/42(2022.01) (54)发明名称 一种恶意电子邮件检测方法及其系统 (57)摘要 本发明实施例公开了一种恶意电子邮件检 测方法及其系统。 方法包括： 获取邮箱客户端信 息； 根据邮箱客户端信息生 成邮箱域名公共黑名 单库； 根据邮箱客户端信息生 成邮箱域名私有白 名单库； 监控发送至各个电子邮箱账户的电子邮 件信息， 以得到各个电子邮箱接收到的电子邮件 联系人邮箱域名； 匹配各个电子邮箱接收到的电 子邮件联系人邮箱域名以及邮箱域名公共黑名 单库； 匹配各个电子邮箱接收到的电子邮件 联系 人邮箱域名以及邮箱域名私有白名单库； 判断发 送至电子邮箱账户的电子邮件信息中是否存在 异常电子邮件； 若存在， 则对异常电子 邮件进行 隔离； 生成异常电子 邮件告警信息。 通过实施本 发明实施例的方法可实现可有效识别多变的恶 意电子邮件。 权利要求书3页 说明书16页 附图8页 CN 114389854 A 2022.04.22 CN 114389854 A 1.一种恶意电子邮件检测方法， 其特 征在于， 包括： 获取邮箱客户端信息； 根据所述邮箱客户端信息生成邮箱域名公共黑名单库； 根据所述邮箱客户端信息生成邮箱域名私有白名单库； 监控发送至各个电子邮箱账户的电子邮件信 息， 以得到各个电子邮箱接收到的电子邮 件联系人邮箱域名； 匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名公共黑名单 库， 以得到第一匹配结果； 匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单 库， 以得到第二匹配结果； 根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件 信息中是否存在异常电子邮件； 若发送至电子邮箱账户的电子邮件信 息中存在异常电子邮件， 则对异常电子邮件进行 隔离； 生成异常电子邮件告警信息 。 2.根据权利要求1所述的一种 恶意电子邮件检测方法， 其特征在于， 所述邮箱客户端信 息包括电子邮箱账户信息、 电子邮箱已发送邮件联系 人信息、 电子邮箱已接 收邮件联系 人 信息以及电子邮箱黑名单 联系人信息 。 3.根据权利要求1所述的一种 恶意电子邮件检测方法， 其特征在于， 所述根据 所述邮箱 客户端信息生成邮箱域名公共黑名单库， 包括： 计算所有电子邮箱的电子邮箱黑名单 联系人信息的集 合， 以得到原 始公共黑名单库； 定时爬取和收集公开的恶意域名情报库内的恶意域名列表， 以得到补充公共黑名单 库； 对所述原始公共黑名单库以及补充公共黑名单库进行去重、 排列以及整合， 以得到邮 箱域名公共黑名单库。 4.根据权利要求1所述的一种 恶意电子邮件检测方法， 其特征在于， 所述根据 所述邮箱 客户端信息生成邮箱域名私有白名单库， 包括： 计算每个电子邮箱对应的电子邮箱已发送邮件联系人信息以及电子邮箱已接收邮件 联系人信息的交集， 以得到每 个电子邮箱的邮箱域名私有白名单库。 5.根据权利要求1所述的一种 恶意电子邮件检测方法， 其特征在于， 所述匹配各个电子 邮箱接收到的电子邮件联系人邮箱 域名以及所述邮箱域名公共黑名单库， 以得到第一匹配 结果， 包括： 判断所述电子邮箱接收到的电子邮件联系人邮箱域名是否属于所述邮箱域名公共黑 名单库内的元 素； 若所述电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库 内的元素， 则确定电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱 域名公共黑名 单库， 以得到第一匹配结果； 若所述电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单 库内的元素， 则确定电子邮箱接收到的电子邮件联系人邮箱 域名不属于所述邮箱域名公共权　利　要　求　书 1/3 页 2 CN 114389854 A 2黑名单库， 以得到第一匹配结果。 6.根据权利要求5所述的一种 恶意电子邮件检测方法， 其特征在于， 所述匹配各个电子 邮箱接收到的电子邮件联系人邮箱 域名以及所述邮箱域名私有白名单库， 以得到第二匹配 结果， 包括： 判断所述电子邮箱接收到的电子邮件联系人邮箱域名是否属于所述邮箱域名私有白 名单库内的元 素； 若所述电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名私有白名单库 内的元素， 则确定电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱 域名私有白名 单库， 以得到第二匹配结果； 若所述电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名私有白名单 库内的元素， 则确定电子邮箱接收到的电子邮件联系人邮箱 域名不属于所述邮箱域名私有 白名单库， 以得到第二匹配结果。 7.根据权利要求6所述的一种 恶意电子邮件检测方法， 其特征在于， 所述根据 所述第一 匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异 常电子邮件， 包括： 当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名属于所述 邮箱域 名公共黑名单库时， 发送至电子邮箱账户的电子邮件信息中存在异常电子邮件， 且将电子 邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为异常电子邮件； 当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱 域名公共黑名单库， 且所述第二匹配结果是电子邮箱接收到的电子邮件联系人邮箱 域名属 于所述邮箱 域名公共白名单库时， 发送至电子邮箱账户的电子邮件信息中不存在异常电子 邮件， 且将电子邮箱接收到的电子邮件联系人邮箱 域名对应的电子邮件确认为非异常电子 邮件； 当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱 域名公共黑名单库， 且所述第二匹配结果是电子邮箱接收到的电子邮件联系人邮箱 域名不 属于所述邮箱域名公共白名单库时， 将电子邮箱接收到的电子邮件联系人邮箱 域名对应的 电子邮件确认为未知邮件。 8.根据权利要求7所述的一种 恶意电子邮件检测方法， 其特征在于， 所述根据 所述第一 匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异 常电子邮件之后， 还 包括： 若发送至电子邮箱账户的电子邮件信 息中不存在异常电子邮件， 则允许非异常邮件到 达对应的电子邮箱账户， 对所述未知邮件进行隔离， 并进行 未知电子邮件的告警。 9.一种恶意电子邮件检测系统， 其特 征在于， 包括： 获取单元， 用于获取邮箱客户端信息； 黑名单库生成单 元， 用于根据所述邮箱客户端信息生成邮箱域名公共黑名单库； 白名单库生成单 元， 用于根据所述邮箱客户端信息生成邮箱域名私有白名单库； 监控单元， 用于监控发送至各个电子邮箱账户的 电子邮件信息， 以得到各个电子邮箱 接收到的电子邮件联系人邮箱域名； 第一匹配单元， 用于匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮权　利　要　求　书 2/3 页 3 CN 114389854 A 3