本發明專利技術實施例公開了一種檢測郵件攻擊的方法、裝置及設備,該方法包括:接收數據流;獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據接收到的數據流的協議類型確定所述每個統計周期的郵件流量參數;當所述預定數目個統計周期內每個統計周期的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊。應用本發明專利技術實施例,可以使郵件攻擊的檢測結果更為準確。
【技術實現步驟摘要】
本專利技術涉及通信
,尤其涉及一種檢測郵件攻擊的方法、裝置及設備。
技術介紹
郵件攻擊,也稱為“郵件炸彈攻擊”,英文是E-Mail Bomb,是一種攻擊電子郵件(E-mail)郵箱(下文簡稱電子郵箱)的手段,通過短時間內向目標電子郵箱連續發送垃圾郵件的方式,使該目標電子郵箱容量達到上限而沒有多余的空間來容納新的電子郵件(下文簡稱為郵件)。并且,發生郵件攻擊時,垃圾郵件在網絡中傳輸會消耗大量的網絡資源,從而可能引起網絡堵塞,導致其他大量的電子郵箱無法正常接收和發送郵件,同時也會給郵件服務器造成負擔。發生郵件攻擊時,郵件服務器所接收的郵件流量往往會出現異常,而一般郵件服務器是通過特定端口(例如,端口 25)接收郵件的,因此,在檢測是否發生郵件攻擊時,通常先針對郵件服務器的特定端口進行流量統計,當一定時間內郵件流量超過預設的流量閾值時,就認為發生了郵件攻擊,并對郵件服務器的特定端口的流量進行限制。采用這種檢測郵件攻擊的方式時,由于郵件服務器的特定端口除了接收郵件以夕卜,還會接收其他的數據,因此針對郵件服務器的特定端口進行流量統計時,所統計的流量中可能包含除郵件流量的其它數據流量,例如,命令數據等,因此對郵件攻擊的檢測結果是不準確的,不能正確地對郵件攻擊進行限制和處理。
技術實現思路
本專利技術實施例中提供了一種檢測郵件攻擊的方法、裝置及設備,用以解決現有技術中存在的郵件攻擊的檢測結果不準確的問題。為解決上述問題,本專利技術實施例提供的技術方案如下:第一方面,提供一種檢測郵件攻擊的方法,包括:接收數據流;獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據接收到的數據流的協議類型確定所述每個統計周期的郵件流量參數;當所述預定數目個統計周期內每個統計周期的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊。結合第一方面,在第一方面的第一種可能的實現方式中,所述根據接收到的數據流的協議類型確定所述每個統計周期內的郵件流量參數,包括:分析所述每個統計周期內接收到的數據流的協議類型;當所述協議類型屬于郵件協議類型時,確定所述數據流為郵件;根據確定的郵件獲得所述每個統計周期內的郵件流量參數。結合第一方面,或第一方面的第一種可能的實現方式,在第一方面的第二種可能的實現方式中,所述郵件流量參數包括:郵件數量;或新建的用于傳輸郵件的簡單郵件傳輸協議SMTP連接數;或用于傳輸郵件的SMTP并發連接增加數。結合第一方面,或第一方面的第一種可能的實現方式,或第一方面的第二種可能的實現方式,在第一方面的第三種可能的實現方式中,在所述確定檢測到郵件攻擊之后,還包括:獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址;統計獲得的每個收件人郵箱地址在所述每個檢測周期的出現次數;將在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標地址。結合第一方面的第三種可能的實現方式,在第一方面的第四種可能的實現方式中,還包括:在所述獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址的同時,獲得所述郵件的發件人網絡協議IP地址;建立所述每個檢測周期中收件人郵箱地址和發件人IP地址的對應關系;在所述將在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標地址之后,還包括:根據所述對應關系統計所述目標地址對應的每個發件人IP地址的出現次數;將出現次數超過第三閾值的發件人IP地址確定為所述郵件攻擊的攻擊方IP地址。第二方面,提供一種檢測郵件攻擊的裝置,包括:接收單元,用于接收數據流;第一獲得單元,用于獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據所述接收單元接收到的數據流的協議類型確定所述每個統計周期的郵件流量參數;確定單元,用于當所述第一獲得單元獲得的預定數目個統計周期內每個統計周期內的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊。結合第二方面,在第二方面的第一種可能的實現方式中,所述第一獲得單元包括:協議類型分析子單元,用于在每個統計周期內,分析所述每個統計周期內接收到的數據流的協議類型;郵件確定子單元,用于當所述協議類型分析子單元分析出的數據流的協議類型屬于郵件協議類型時,確定所述數據流為郵件;參數獲得子單元,用于根據所述郵件確定子單元所確定的郵件獲得所述每個統計周期內的郵件流量參數。結合第二方面,或第二方面的第一種可能的實現方式,在第二方面的第二種可能的實現方式中,還包括:第二獲得單元,用于在所述確定單元確定檢測到郵件攻擊之后,獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址;第一統計單元,用于統計所述第二獲得單元獲得的每個收件人郵箱地址在所述每個檢測周期的出現次數;目標地址確定單元,用于將所述第一統計單元統計的在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為郵件攻擊的目標地址。結合第二方面的第二種可能的實現方式,在第二方面的第三種可能的實現方式中,還包括:第三獲得單元,用于在所述第二獲得單元獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址的同時,獲得所述郵件的發件人網絡協議IP地址;對應關系建立單元,用于建立所述每個檢測周期中所述第二獲得單元獲得的收件人郵箱地址和所述第三獲得單元獲得的發件人IP地址的對應關系;第二統計單元,用于在所述目標地址確定單元確定目標地址之后,根據所述對應關系建立單元建立的對應關系統計所述目標地址對應的每個發件人IP地址的出現次數;攻擊方地址確定單元,用于將所述第二統計單元統計的出現次數超過第三閾值的發件人IP地址確定為所述郵件攻擊的攻擊方IP地址。第三方面,提供一種檢測郵件攻擊的設備,包括:網絡接口,用于接收數據流;處理器,用于獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據所述網絡接口接收到的數據流的協議類型確定所述每個統計周期的郵件流量參數,當所述預定數目個統計周期內每個統計周期的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊。結合第三方面,在第三方面的第一種可能的實現方式中,所述處理器具體用于:在每個統計周期內,分析所述每個統計周期內所述網絡接口接收到的數據流的協議類型,當所述協議類型屬于郵件協議類型時,確定所述數據流為郵件,根據確定的郵件獲得所述每個統計周期內的郵件流量參數。結合第三方面,或第三方面的第一種可能的實現方式,在第三方面的第二種可能的實現方式中,所述處理器還用于:在所述確定檢測到郵件攻擊之后,獲得預定數目個檢測周期內每個檢測周期所述網絡接口所接收到的郵件的收件人郵箱地址,統計獲得的每個收件人郵箱地址在所述每個檢測周期的出現次數,將在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標地址。結合第三方面的第二種可能的實現方式,在第三方面的第三種可能的實現方式中,所述處理器還用于:在所述獲得預定數目個檢測周期內每個檢測周期所述網絡接口所接收到的郵件的收件人郵箱地址的同時,獲得所述郵件的發件人網絡協議IP地址,建立所述每個檢測周期中收件人郵箱地址和發本文檔來自技高網...
【技術保護點】
一種檢測郵件攻擊的方法,其特征在于,包括:接收數據流;獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據接收到的數據流的協議類型確定所述每個統計周期的郵件流量參數;當所述預定數目個統計周期內每個統計周期的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊。
【技術特征摘要】
1.一種檢測郵件攻擊的方法,其特征在于,包括: 接收數據流; 獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據接收到的數據流的協議類型確定所述每個統計周期的郵件流量參數; 當所述預定數目個統計周期內每個統計周期的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊。2.如權利要求1所述的方法,其特征在于,所述根據接收到的數據流的協議類型確定所述每個統計周期內的郵件流量參數,包括: 分析所述每個統計周期內接收到的數據流的協議類型; 當所述協議類型屬于郵件協議類型時,確定所述數據流為郵件; 根據確定的郵件獲得所述每個統計周期內的郵件流量參數。3.如權利要求1或2所述的方法,其特征在于,所述郵件流量參數包括: 郵件數量;或 新建的用于傳輸郵件的簡單郵件傳輸協議SMTP連接數;或 用于傳輸郵件的SMTP并發連接增加數。4.如權利要求1至3中任一權利要求所述的方法,其特征在于,在所述確定檢測到郵件攻擊之后,還包括: 獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址; 統計獲得的每個收件人郵箱地址在所述每個檢測周期的出現次數; 將在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標地址。5.如權利要求4所述的方法,其特征在于,還包括: 在所述獲得預定數目個檢測周期內每個檢測周期所接收到的郵件的收件人郵箱地址的同時,獲得所述郵件的發件人網絡協議IP地址; 建立所述每個檢測周期中收件人郵箱地址和發件人IP地址的對應關系; 在所述將在所述預定數目個檢測周期內任一檢測周期中的出現次數超過第二閾值的收件人郵箱地址確定為所述郵件攻擊的目標地址之后,還包括: 根據所述對應關系統計所述目標地址對應的每個發件人IP地址的出現次數; 將出現次數超過第三閾值的發件人IP地址確定為所述郵件攻擊的攻擊方IP地址。6.一種檢測郵件攻擊的裝置,其特征在于,包括: 接收單元,用于接收數據流; 第一獲得單元,用于獲得預定數目個統計周期內每個統計周期的郵件流量參數,其中,在每個統計周期內,根據所述接收單元接收到的數據流的協議類型確定所述每個統計周期的郵件流量參數; 確定單元,用于當所述第一獲得單元獲得的預定數目個統計周期內每個統計周期內的郵件流量參數均與第一閾值相匹配時,確定檢測到郵件攻擊。7.如權利要求6所述的裝置,其特征在于,所述第一獲得單元包括: 協議類型分析子單元,用于在每個統計周期內,分析所述每個統計周期內接收到的數據流的協議類型;郵件確定子單元,用于當所述協議類型分析子單元分析出的數據流的協議類型屬于郵件協議類型時,確定所述數據流為郵件; 參數獲得子單元,用于根據所述郵件確定子單元所確定的郵件獲得所述每個統計周期內的郵件流量參數。8.如權利要求6或7所述的裝置,其特征在于,還包括: 第...
【專利技術屬性】
技術研發人員:蔣武,董興水,
申請(專利權)人:華為技術有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。