基于密度与距离的钓鱼邮件检测方法
如何识别和防止网络钓鱼邮件
如何识别和防止网络钓鱼邮件网络钓鱼邮件是指通过电子邮件发送的针对个人或组织的欺诈行为,旨在窃取敏感信息,如用户名、密码和金融账户等。
识别和防止网络钓鱼邮件对于保护个人和企业的网络安全至关重要。
本文将介绍一些方法来帮助识别和预防网络钓鱼邮件。
一、邮件发件人验证网络钓鱼邮件常常冒充合法的发送者,以欺骗接收者。
验证邮件发件人的真实性是识别网络钓鱼邮件的第一步。
确保发件人的邮件地址与他们所声称的身份相匹配,双重检查邮件头信息是否有任何异常。
二、警惕非个性化的称呼网络钓鱼邮件通常采用一般性的称呼,如“尊敬的用户”或者“亲爱的客户”,而不是用您的姓名或公司名称。
如果您收到此类邮件,应保持警惕。
三、仔细阅读邮件内容网络钓鱼邮件通常使用一些紧急或紧迫的语言来诱使受害者采取行动。
这些邮件可能声称您的账户受到威胁,需要立即采取措施。
但请注意,这是网络钓鱼邮件常用的伎俩。
在采取任何行动之前,务必仔细阅读邮件内容,并与您曾经收到的合法邮件进行对比。
四、注意邮件链接和附件网络钓鱼邮件常常包含具有欺骗性的链接,点击这些链接可能会导致您被重定向到一个看似合法的网站,以输入您的敏感信息。
在点击邮件中的链接之前,悬停在链接上观察URL是否与声称的目的地一致。
此外,除非您确定邮件附件的来源和内容,否则不要随便下载或打开附件。
五、巧妙检查病毒或恶意软件网络钓鱼邮件有时会包含感染计算机的病毒或恶意软件。
点击恶意链接或下载疑似附件都可能导致您的计算机受到感染。
因此,保持您的防病毒软件和防火墙的最新更新,定期进行系统扫描,以识别和删除任何潜在的威胁。
六、保持对外界的警惕除了注意网络钓鱼邮件本身,还应保持警惕,从源头上减少接收此类邮件的风险。
避免向不信任的网站或无法验证的平台提供您的个人信息。
此外,定期更改和加强您的密码,使用强密码和多因素身份验证,将大大提高您的账户安全性。
总结:识别和防止网络钓鱼邮件需要一定的警觉性和谨慎性。
通过核实邮件发件人的真实性,仔细阅读邮件内容,注意邮件链接和附件,保持防病毒软件和防火墙的更新,以及对外界保持警惕,我们可以更好地保护自己和组织的网络安全。
如何识别和防范网络钓鱼邮件(一)
如何识别和防范网络钓鱼邮件随着互联网和电子邮件的普及,网络钓鱼邮件成为了一个严峻的安全问题。
网络钓鱼邮件指的是攻击者伪装成合法机构或个人,通过电子邮件发送欺骗性信息,诱使用户点击恶意链接、泄露个人信息或下载恶意软件。
本文将分享一些识别和防范网络钓鱼邮件的实用方法,帮助读者保护自己的在线安全。
1. 仔细检查发件人地址一个常见的网络钓鱼手法是伪造发件人地址,使其看起来与合法机构或个人相符。
然而,细心观察可以揭示这种欺骗。
首先,检查发件人地址的拼写和格式是否正确。
其次,注意域名是否与机构或个人的官方域名一致。
最后,悬停鼠标在邮件地址上,查看显示的完整地址是否与邮件显示的一致。
这些细节可以帮助我们分辨真伪。
2. 警惕语法和拼写错误网络钓鱼邮件往往有明显的语法和拼写错误。
攻击者通常并不像合法的机构或个人那样仔细审查和编辑邮件内容。
因此,如果你在邮件中发现了明显的错误,比如错别字、语法混乱或句子不通顺,那么极有可能是个骗局。
合法的邮件往往是经过专业编辑的,不太可能出现这类错误。
3. 谨慎对待附件和链接网络钓鱼邮件通常会附带恶意软件或链接,一旦用户点击或下载,就会导致计算机感染病毒或泄露个人信息。
因此,在打开任何附件或点击链接之前,要仔细思考并采取一些措施。
首先,确认附件或链接的发送者是否可信,判断是否是你预期的邮件。
其次,使用一款可靠的杀毒软件扫描附件或链接,以确保安全。
最重要的是,避免在收到邮件后匆忙行动,应该先核实和确认邮件的真实性。
4. 不轻易泄露个人信息网络钓鱼邮件的目的之一是获取用户的个人信息,如银行账号、信用卡号码或社交媒体密码。
因此,我们必须时刻保持警惕,不轻易泄露个人信息。
合法的机构或个人很少会通过电子邮件要求用户提供敏感信息。
如果你收到这类邮件,一定要以其他方式与机构或个人进行确认,确保邮件的真实性。
5. 更新系统和软件及时更新操作系统和软件是保护自己免受网络钓鱼攻击的重要措施。
经常性地更新可以修复已知的安全漏洞,确保计算机系统的安全性。
钓鱼邮件研判方法
钓鱼邮件研判方法Phishing emails have become a prevalent issue in today's digital world. These deceptive emails are crafted to appear as if they are from a legitimate source, such as a bank or a well-known organization, in an attempt to trick individuals into providing sensitive information. 钓鱼邮件在当今数字世界已经成为一个普遍问题。
这些欺骗性的邮件被设计成看起来像来自合法来源,比如银行或知名组织,目的是诱使个人提供敏感信息。
One method to identify phishing emails is to carefully examine the sender's email address. Oftentimes, phishing emails will come from addresses that may appear similar to legitimate ones, but upon closer inspection, contain slight variations or misspellings. 一种鉴别钓鱼邮件的方法是仔细检查发件人的电子邮件地址。
通常来说,钓鱼邮件的发件地址可能看起来与合法地址相似,但仔细检查后会发现其中存在些微差异或拼写错误。
Another red flag to watch out for in phishing emails is the presence of urgent or threatening language. Scammers often use phrases like "Your account has been compromised" or "You must act now toavoid penalties" to create a sense of urgency and pressure individuals into taking immediate action. 钓鱼邮件中另一个要警惕的红旗是紧急或威胁性语言的存在。
邮件钓鱼的排查手段
邮件钓鱼的排查手段主要包括以下几个方面:
1. 检查发件人信息:如果发件人地址看起来可疑或者与常规的邮件发送方不符,那么这封邮件很可能是钓鱼邮件。
2. 查看邮件主题和正文:钓鱼邮件通常会使用引人注目的主题和正文内容,如“紧急通知”、“重要文件”等。
如果邮件中要求提供个人信息或者点击链接,要特别小心。
3. 检查邮件附件:钓鱼邮件经常会附带恶意附件,如可执行文件或恶意链接。
如果附件内容可疑或者无法确认其安全性,请不要打开。
4. 确认邮件来源:如果邮件中的链接指向可疑网站或者要求提供个人信息,最好先与邮件中提到的机构或个人进行电话或在线沟通,确认邮件的真实性。
5. 使用安全软件:安装防病毒软件和防火墙,并保持其更新,可以帮助检测和拦截钓鱼邮件。
6. 举报可疑邮件:如果发现可疑的钓鱼邮件,可以将其举报给相关部门或机构,以便进行进一步调查和处理。
通过以上排查手段,可以有效地识别和避免钓鱼邮件带来的风险。
同时,建议定期更新密码和账户信息,以减少被钓鱼攻击的可能性。
【网络安全小技巧】如何识别钓鱼邮件?
【网络安全小技巧】如何识别钓鱼邮件?网络钓鱼又名钓鱼法或钓鱼式攻击,是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息的一种攻击方式。
在日常生活中,每天都有无数的网络钓鱼电子邮件发送到大家的手中,那么如何有效辨别网络钓鱼电子邮件?具体请看下文。
1、信息中包含一个不匹配的网址在检查可疑电子邮件信息的时候,推荐第一个要检查的就是任何嵌入网址的完整性。
通常情况下网络钓鱼邮件中的网址会显得非常有效。
但是,如果你把鼠标停留在这个网址上,你会看到真实的地址。
如果超链接的地址与显示的地址不一样,那么该消息就可能是欺诈或者恶意的。
2、网址中包含误导域名那些发送网络钓鱼欺诈的人往往依赖于他们的受害者并不了解针对域的DNS命名结构工作原理是怎样的。
域名的最后一部分是最有说服力的。
这也是钓鱼邮件的高手常用的技巧,试图欺骗受害者这个消息是来自于像微软或者苹果这样的公司。
钓鱼邮件的高手只需要创建一个类似于微软、苹果或者其他公司的子域名。
3、消息中包含错误的拼写或者语法一家大公司以整个公司的名义推送消息的时候,这个消息通常是经过拼写、语法、合法性等方面的审查的。
所以如果一个消息中充斥着糟糕的语法或者拼写错误,那么可能不是来自于一家大公司的法律部门。
4、消息中要求提供个人信息不管一封电子邮件看起来有多么正式,如果它要求提供个人信息的话就一定是个不好的迹象。
你的银行不会要求发送你的帐号的,银行肯定是知道的。
同样地,一家有信誉的公司是永远不会发送电子邮件要求你提供密码、信用卡号码、或者安全问题的答案的。
5、消息中会发起不现实的威胁尽管大多数的网络钓鱼骗局试图通过承诺瞬间暴富来诱骗人们掏钱或者透露敏感信息,但是有一些钓鱼邮件的高手会使用恐吓手段来吓唬受害人交出信息。
如果该消息发起了不现实的威胁,那么这有可能是个骗局。
6、邮件消息似乎来自于政府机构网络钓鱼的高手他们想要使用并不总是伪装成银行的恐吓手段。
网络安全意识如何识别网络钓鱼邮件
网络安全意识如何识别网络钓鱼邮件随着互联网的发展,网络钓鱼邮件作为一种常见的网络安全威胁,正在给人们的生活和工作带来越来越大的风险。
网络钓鱼邮件是指利用虚假身份冒充合法机构发送的电子邮件,以骗取个人信息、财务信息等敏感数据的行为。
为了保护我们自己和我们的财产安全,我们必须具备识别网络钓鱼邮件的能力。
本文将介绍网络钓鱼邮件的特征和识别方法,帮助读者提高网络安全意识。
一、网络钓鱼邮件的特征1. 发件人地址网络钓鱼邮件通常会使用虚假的发件人地址,以冒充合法机构或熟人的身份。
在收到电子邮件时,需要仔细核对发件人的地址,是否与我们熟悉的机构或个人一致。
如果发件人地址具有可疑性,就应该保持警惕。
2. 主题和内容网络钓鱼邮件的主题和内容通常会引起读者的兴趣和紧急性,以此诱骗读者点击邮件中的链接或附件。
这些邮件可能声称您中了奖、需要紧急更新账户信息,或是涉及法律纠纷等。
在阅读邮件时,要注意是否存在过于夸张的用词、语法错误或逻辑不合理的地方,这些都可能是钓鱼邮件的特征。
3. 链接和附件网络钓鱼邮件通常会包含有害链接或恶意附件,点击或下载后会导致个人信息泄露或电脑病毒感染。
在点击链接或下载附件之前,一定要先进行安全评估,确保链接或附件来源可靠。
此外,注意验证链接的真实地址,不要直接点击邮件中的链接,而是手动输入网址,或使用可信的搜索引擎进行搜索。
二、网络钓鱼邮件的识别方法1. 验证发件人身份在收到可疑邮件时,验证发件人的身份是至关重要的。
可以通过搜索机构的官方网站,查看是否有提到与邮件内容相关的信息。
此外,还可以直接联系该机构,核实邮件的真实性。
2. 注意邮件的语法和拼写虽然网络钓鱼邮件的质量在不断提高,但仍然难免存在语法错误和拼写错误。
如果邮件的语法很差或存在拼写错误,那么很可能是一封网络钓鱼邮件。
3. 悬停光标验证链接在收到可疑邮件时,不要轻易点击邮件中的链接,可以将光标悬停在链接上,观察链接的真实地址是否与邮件内容相符。
如何识别和防范网络钓鱼邮件(七)
如何识别和防范网络钓鱼邮件导言:网络钓鱼邮件成为了当今网络安全领域一个重要的威胁。
平均每天都有成千上万的网络用户受到网络钓鱼邮件的攻击,这些邮件往往以看似合法的形式出现,诱惑用户点击链接、下载附件、输入个人信息等,从而导致个人隐私泄露、账户被盗用等损失。
本文将介绍一些识别和防范网络钓鱼邮件的方法,帮助读者提高网络安全意识,避免受到钓鱼邮件的侵害。
第一部分:识别网络钓鱼邮件的常见特征网络钓鱼邮件往往通过模仿信任的机构、企业或个人的形式来诱骗用户。
以下是一些常见的特征,可以帮助我们判断一封邮件是否可能是网络钓鱼邮件。
1. 陌生的发件人地址:比如一封声称是银行或电商平台的邮件,但发件人地址是一串乱码或不常见的域名。
2. 内容存在拼写或语法错误:网络钓鱼邮件通常由不法分子发送,他们可能是非英语母语者,因此在邮件的拼写和语法上可能会存在错误。
3. 强烈的紧急性或威胁性:钓鱼邮件常常会利用用户的恐惧心理,声称账户被盗用、支付异常等紧急情况,以促使用户迅速采取行动。
4. 请求个人信息或账户信息:真实的机构或个人很少会通过邮件方式索要个人信息或账户信息,因此如果一封邮件询问这些敏感信息,需要保持警惕。
第二部分:防范网络钓鱼邮件的有效方法识别网络钓鱼邮件只是第一步,更为重要的是采取措施防范这些邮件的攻击。
以下是一些有效的方法:1. 建立健康的网络安全意识:保持警惕并了解网络钓鱼的常见手法是最好的自我保护。
及时了解最新的网络钓鱼攻击方式,提高自己的网络安全意识。
2. 不轻信邮件链接和附件:不要随意点击邮件中的链接、下载附件等操作,尤其是来自陌生发件人的邮件。
首先应该对发件人地址进行验证,而不仅仅是通过邮件内容的表面判断。
3. 使用安全的电子邮件提供商:选择提供强大的反钓鱼和反垃圾邮件功能的电子邮件提供商,可以大大减少钓鱼邮件的到达。
4. 安装反钓鱼软件:在电脑和移动设备上安装可信赖的反钓鱼软件,可以帮助你检测和阻止钓鱼邮件的入侵。
注意识别钓鱼邮件保护个人隐私
注意识别钓鱼邮件保护个人隐私在我们日常的互联网生活中,越来越多的人遭受到了网络诈骗的侵害。
其中最常见的就是收到各种形式的钓鱼邮件。
这些钓鱼邮件看似来自可信的机构或个人,实则是骗子们设下的陷阱,旨在窃取我们的个人隐私信息。
识别钓鱼邮件的技巧1.查看发件人首先要仔细查看邮件的发件人,是否为你熟悉的个人或机构。
如果发件人的邮箱域名与该机构不符,或者显示的发件人名称不太正式,那就要提高警惕了。
2.检查邮件内容钓鱼邮件通常会使用一些极具吸引力的措辞,比如”您已获得xxx大奖”、“紧急通知”等,试图引起你的注意并诱使你点击其中的链接。
这些邮件通常会要求你提供个人信息或登录账户。
3.留意语法和拼写错误正规机构发出的邮件一般文字措辞严谨,很少出现明显的语法和拼写错误。
而钓鱼邮件往往疏忽了这些细节,容易出现错误。
4.检查链接和附件即使邮件本身没有引起你的怀疑,也要谨慎对待其中的链接和附件。
可以将鼠标悬停在链接上查看实际的网址,或者直接联系发件人确认。
不要轻易打开来历不明的附件,以免中招。
保护个人隐私的有效措施1.定期更新密码对于常用的重要账户,要定期更换密码,并确保密码强度足够高。
同时要避免使用容易猜到的个人信息作为密码。
2.谨慎提供个人信息无论是线上还是线下,都要谨慎提供个人信息,尤其是银行卡号、身份证号等敏感信息。
除非是可信的正规渠道,否则一概不要透露。
3.启用双重验证许多网站和应用程序都提供了双重验证的功能,可以有效防止他人未经许可登录你的账户。
开启这一功能后,登录时除了输入密码,还需要验证手机等绑定设备,大大提高了安全性。
4.使用安全软件安装可靠的杀毒软件和网络防火墙,及时更新软件以修复漏洞,可以有效预防各种网络攻击。
同时也要保持谨慎的上网习惯,避免访问不安全的网站。
提高警惕识别钓鱼邮件,并采取有效的隐私保护措施,是我们每个人都应该重视的事情。
只有这样,我们才能更好地保护好自己的个人隐私,远离网络犯罪的侵扰。
移动网络钓鱼邮件检测与过滤
移动网络钓鱼邮件检测与过滤在移动网络时代,钓鱼邮件成为网络安全的重要威胁之一。
钓鱼邮件指的是冒充合法机构或个人发送虚假信息的电子邮件,目的是获取用户敏感信息或财务利益。
为了保护用户免受钓鱼邮件的侵害,移动网络钓鱼邮件检测与过滤技术应运而生。
一、移动网络钓鱼邮件检测技术1.1 发件人认证技术发件人认证技术通过对邮件发送者的身份进行验证,防止钓鱼者冒充合法机构发送伪造邮件。
常见的发件人认证技术包括DKIM (DomainKeys Identified Mail)和SPF(Sender Policy Framework)。
1.2 内容分析技术内容分析技术通过解析邮件内容,检测其中的虚假链接、欺诈性文本和恶意附件等特征,从而判断邮件是否属于钓鱼邮件。
这些技术包括关键词过滤、黑名单/白名单过滤以及机器学习算法等。
1.3 连接分析技术连接分析技术通过对邮件中的链接进行检测,识别域名是否存在异常或被标记为钓鱼网站,从而判断邮件的可信度。
这些技术包括URL检测、网络爬虫和恶意域名识别等。
二、移动网络钓鱼邮件过滤技术2.1 基于规则的过滤技术基于规则的过滤技术,是通过预先设置一系列规则,对邮件进行筛选过滤。
例如,可以通过设置关键词规则、发件人域名规则或邮件格式规则等来识别和过滤钓鱼邮件。
这种技术简单有效,但可能对正常邮件产生误判。
2.2 基于黑白名单的过滤技术基于黑白名单的过滤技术,是根据已知的钓鱼邮件、恶意邮件和合法邮件的列表,对邮件进行分类和过滤。
黑白名单可以根据发件人域名、IP地址、URL信息等进行匹配。
这种技术能够提高过滤准确性,但需要不断维护和更新名单。
2.3 基于机器学习的过滤技术基于机器学习的过滤技术,通过学习大量已知的钓鱼邮件样本和合法邮件样本,构建分类模型,对新收到的邮件进行判断。
这种技术可以自动学习邮件特征,并适应钓鱼邮件的变化。
但需要大量训练样本和计算资源。
三、移动网络钓鱼邮件检测与过滤系统的设计与实现3.1 网络数据采集与预处理移动网络钓鱼邮件检测与过滤系统首先需要获取网络数据,包括收件人的电子邮件、发送时间、邮件内容等。
移动网络钓鱼邮件检测技术
移动网络钓鱼邮件检测技术随着移动互联网的快速发展,人们越来越频繁地使用手机和其他移动设备上网,然而网络钓鱼邮件的威胁也日益增多。
为了保护用户免受网络钓鱼攻击,移动网络钓鱼邮件检测技术应运而生。
本文将介绍移动网络钓鱼邮件检测技术的原理和应用。
一、移动网络钓鱼邮件的概念及危害网络钓鱼邮件是一种骗取用户个人信息的网络诈骗手段。
钓鱼邮件通常伪装成合法机构或个人发送的邮件,诱骗用户点击链接、下载恶意软件或输入个人敏感信息。
一旦用户中招,个人隐私和财产安全就会受到威胁。
二、移动网络钓鱼邮件检测技术的原理移动网络钓鱼邮件检测技术主要通过以下几个方面来辨别钓鱼邮件:1. 内容分析:该技术利用自然语言处理和机器学习算法分析邮件的内容,判断是否存在钓鱼特征。
例如,检测是否有恶意网址、虚假的邮件头部等。
2. 链接扫描:移动网络钓鱼邮件检测技术会提取邮件中的链接,并对链接进行扫描。
扫描的方式包括加密哈希等技术,以判断链接是否为恶意网址。
3. 发件人身份验证:该技术通过验证发件人的身份信息,比对其域名、IP地址等信息是否与已知的合法发件人相符。
同时,也可以通过反垃圾邮件技术对发件人进行评估。
4. 用户行为分析:移动网络钓鱼邮件检测技术还会分析用户的行为模式,检测是否存在异常。
例如,用户在收到邮件后频繁点击链接等。
三、移动网络钓鱼邮件检测技术的应用移动网络钓鱼邮件检测技术已经广泛应用于移动设备的安全防护中。
以下是一些主要的应用场景:1. 电子邮件客户端的安全筛选:移动设备上的电子邮件客户端可以通过移动网络钓鱼邮件检测技术,在用户收到邮件时进行自动检测和筛选,将可疑邮件置于垃圾箱或提示用户进行相关操作。
2. 浏览器插件的安全防护:一些浏览器插件和应用程序可以集成移动网络钓鱼邮件检测技术,帮助用户实时阻止访问钓鱼网站,避免受到网络钓鱼攻击。
3. 移动应用程序的防护:一些安全应用程序可以通过移动网络钓鱼邮件检测技术,监控用户手机上的邮件应用程序,并对邮件进行实时检测,提供警告和保护措施。
如何识别和防范网络钓鱼邮件(四)
如何识别和防范网络钓鱼邮件在如今的信息时代,网络钓鱼邮件已经成为了一种常见的网络安全威胁。
网络钓鱼邮件是指攻击者通过仿冒常见的邮件服务提供商、银行、社交媒体等机构的邮件,以获取用户的个人信息、密码等敏感信息的方式。
识别和防范网络钓鱼邮件对于保护个人隐私和防止财务损失至关重要。
下面我们将介绍一些识别和防范这类邮件的方法。
首先,要注意邮件的发件人地址。
网络钓鱼邮件常常会使用与常见机构相似的发件人地址,但细心的人可以通过查看发件人的域名来判断邮件的真实性。
如果域名中有拼写错误或与正常的域名不一致,那很可能是网络钓鱼邮件。
此外,当你收到一封声称来自银行或其他机构的邮件时,你可以通过直接在浏览器中输入机构的官方网站来进一步验证邮件的真实性。
其次,要留意邮件的内容。
网络钓鱼邮件通常会使用一些警告和威胁语言,以促使用户点击恶意链接或提供个人信息。
如果你收到一封声称需要立即采取行动的邮件,要保持冷静,并仔细考虑邮件的真实性。
真正的机构通常会使用正式的语言,并提供详细的解释和说明。
另外,要小心邮件中的链接。
网络钓鱼邮件中的链接通常看似合法,但实际上会将用户重定向到一个恶意网站,以窃取个人信息。
要避免点击邮件中的链接,最好是手动输入机构的官方网址。
同时,当你鼠标悬停在链接上时,应该注意查看链接的实际网址。
如果链接中的网址与机构的官方网址不匹配,那就有可能是网络钓鱼邮件。
此外,要注意邮件中的附件。
网络钓鱼邮件有时会包含感染计算机的恶意软件,如病毒、木马等。
所以,如果你收到一封来自陌生人的邮件,并附带有不明附件,请谨慎打开。
最好的做法是不打开附件,或使用杀毒软件对附件进行扫描。
最后,保持个人信息的保密。
无论是邮件、社交媒体还是其他平台,都应该将个人信息保持私密。
不要向任何陌生人分享你的银行账号、登录密码或其他敏感信息。
真实的机构通常不会通过邮件或其他非安全渠道要求你提供这些信息。
综上所述,网络钓鱼邮件是一种现代社会中常见的网络威胁。
如何识别和防范网络钓鱼邮件(六)
网络钓鱼邮件是一种常见的网络安全威胁,通过伪装成合法组织或个人的邮件,骗取用户个人信息或诱导用户点击恶意链接而导致信息泄露或电脑受损。
如何识别和防范网络钓鱼邮件是我们每个人都应该关注的问题。
一、网络钓鱼邮件的特征网络钓鱼邮件通常具有以下特征,我们可以通过观察邮件来判断其真伪:1. 发件人地址异常:网络钓鱼邮件的发件人地址往往是虚假或伪装成合法的邮件地址,如果你收到一封邮件的发件人地址和邮件内容中的发件人不一致,就需要保持警惕。
2. 内容简单而单一:网络钓鱼邮件通常内容简单直接,目的是引起用户的好奇心或恐慌情绪,比如“您的账户被黑了,请点击链接查看详情”,这种邮件往往伴随着大量威胁性语言。
3. 恶意链接或附件:网络钓鱼邮件常常通过恶意链接或附件来诱导用户点击,这些链接或附件可能包含恶意软件,一旦点击或打开,个人信息就会被盗取。
二、如何识别网络钓鱼邮件1. 仔细检查邮件地址:确保发件人地址与邮件内容中的发件人一致,并且拼写正确。
2. 不要随便点击链接:如果收到一封含有链接的邮件,不要随便点击,可以将鼠标放置在链接上,查看链接是否可信。
如果链接不可信或包含诱导语言,最好不要点击。
3. 注意邮件内容:网络钓鱼邮件常常伴随着紧急性的语言和恐吓,如果邮件内容让你感到紧张或恐慌,最好进行二次确认,不要随意泄露个人信息。
4. 验证发件人身份:如果你收到一封来自银行或其他机构的邮件,要求你输入个人信息,最好通过其他途径验证发件人的身份,例如拨打客服电话咨询。
三、如何防范网络钓鱼邮件1. 安装网络安全软件:经常更新和使用可信的网络安全软件,可以帮助你过滤和拦截网络钓鱼邮件,保护个人信息的安全。
2. 教育员工和家人:网络钓鱼邮件不仅威胁个人用户,也是企业信息安全的重要威胁之一。
教育员工和家人如何识别和防范网络钓鱼邮件是至关重要的。
3. 强化密码安全性:使用强密码并定期更换密码是防范网络钓鱼邮件的有效手段。
避免使用过于简单的密码,并不要将相同的密码用于不同的账户。
如何识别网络钓鱼邮件
如何识别网络钓鱼邮件在这个信息时代,网络钓鱼邮件已经成为了一种非常常见的网络犯罪手段。
这些钓鱼邮件往往伪装成银行、电商等知名企业的官方邮件,试图获取用户的个人隐私信息。
因此,如何识别这些危险的钓鱼邮件,成为每个互联网用户都应该关注的重要话题。
邮件发件人我们要仔细观察邮件的发件人地址。
一般来说,正规企业发送的邮件,发件人地址都是与企业品牌相关的域名,比如”service@company“。
而钓鱼邮件往往会使用一些看似相似的域名,如”service@company-support“。
这种略微不同的域名,就是钓鱼分子用来欺骗用户的常见手段。
邮件内容我们要认真阅读邮件的内容。
正规企业发送的邮件,通常会用友好、专业的语言进行沟通,并且内容会相对简洁明了。
而钓鱼邮件则常常会使用一些带有紧急感或诱导性的措辞,试图引起用户的焦虑情绪,促使其点击链接或提供个人信息。
附件和链接除此之外,我们还要格外警惕邮件中的附件和链接。
正规企业发送的邮件,通常不会包含可执行文件的附件,也不会要求用户点击链接前往第三方网站。
相反,钓鱼邮件经常会附带一些恶意程序,或者诱导用户点击链接访问钓鱼网站。
个人信息我们要注意,即使邮件看起来十分合法,也不应随意提供个人敏感信息。
正规企业一般不会通过电子邮件要求用户提供银行卡号、密码等隐私信息。
如果邮件中有这样的要求,我们就要高度警惕,不轻易上当。
识别网络钓鱼邮件需要我们保持高度警惕和谨慎。
我们要仔细观察邮件的发件人、内容、附件和链接,并且切记不要轻易泄露个人隐私信息。
只有这样,我们才能有效地保护自己,远离网络犯罪的侵害。
如何识别和防范网络钓鱼邮件
网络钓鱼邮件已经成为现代社会中的一种常见网络欺诈手段。
通过虚假的邮件,骗取用户的个人信息,造成隐私泄露和财产损失。
今天,我们将讨论如何识别和防范网络钓鱼邮件。
一、认识网络钓鱼邮件的特点网络钓鱼邮件常常冒充正规机构或知名品牌发出,以获取用户的信任。
邮件的内容通常具有紧急性和欺骗性,要求用户点击链接或提供个人账户信息。
这些邮件往往语法错误、拼写错误较多,无法得到有效验证。
二、如何辨别网络钓鱼邮件1. 查看发件人邮箱地址:网络钓鱼邮件的发件人地址常常伪装成正规机构或公司,但细心观察可以发现其中的差异。
不要轻易相信发件人的身份,要通过其他途径验证。
2. 察看邮件的正文:网络钓鱼邮件通常使用恐吓、恐慌、紧急等手法,诱使用户点击附带的链接或下载附件。
要仔细阅读邮件内容,避免受到恶意软件的感染。
3. 检查邮件中的链接:网络钓鱼邮件往往包含伪造的链接,要谨慎点击。
将鼠标悬停在链接上,查看链接地址是否与邮件内容一致,正确的链接应该是域名与发件机构相关的网址。
4. 谨慎提供个人信息:网络钓鱼邮件通常会要求你提供个人信息或账户信息,如信用卡号码、密码等。
不要轻易泄露这些信息,正规机构不会通过邮件的方式索要这些敏感数据。
三、提高网络安全意识1. 加强密码保护:使用强密码,并定期更换密码。
不要使用容易被猜测的个人信息或简单的数字组合作为密码。
2. 安装网络安全软件:为了防止受到恶意软件和病毒的攻击,及时安装并更新杀毒软件、防火墙和反钓鱼软件。
3. 谨慎公布个人信息:在社交媒体平台和其他公开场合,尽量避免公布过多的个人信息,以免给不法分子提供可乘之机。
4. 保护个人隐私:网络钓鱼邮件的目标通常是获取个人隐私信息,因此要保护好自己的隐私,不随意在互联网上留下个人痕迹。
四、正确处理钓鱼邮件1. 不要点击陌生链接:如果收到可疑邮件,最好不要点击其中的链接或下载附件,以免受到恶意软件的感染。
2. 进行详细核实:如果你怀疑收到的邮件是网络钓鱼邮件,可以联系发件人核实邮件的真伪,避免受到欺骗。
学会辨别网络钓鱼邮件
学会辨别网络钓鱼邮件随着互联网的普及和应用,网络钓鱼邮件已经成为一种常见的网络欺诈手段。
网络钓鱼邮件通常伪装成合法的电子邮件,企图诱使受害者透露个人敏感信息或者进行恶意行为。
因此,学会辨别网络钓鱼邮件对于保护个人信息和防范网络攻击非常重要。
本文将提供一些建议,以帮助大家识别和避免网络钓鱼邮件。
1. 谨慎对待不明来源的邮件附件和链接网络钓鱼邮件通常会附带恶意软件或者链接,通过点击打开或者访问这些附件或链接,你的设备可能会被感染或者遭受其他危害。
因此,对于不明来源的邮件附件和链接要保持谨慎,切勿轻信或者随意点击。
如果你不能确认发送者的身份或者目的,请将邮件标记为垃圾邮件,并删除。
2. 注意邮件发送者的地址和域名伪装邮件的发件人地址和域名可能与合法的发件人非常相似,以此误导接收者。
因此,在处理邮件时,务必仔细检查发送者的地址和域名。
任何看似合法但可能存在问题的地址或域名,都应引起你的警惕。
此外,更加可疑的是来自银行、政府机关或大型公司的邮件,因为这些机构往往是钓鱼邮件攻击者的主要目标。
3. 注意邮件内容中的错别字和语法错误尽管网络钓鱼邮件的制作者越来越隐蔽,但仍然难免会出现一些拼写错误、语法错误或者不通顺的句子。
这些错误可能是因为制作者并不是以母语为语言,或者在制作钓鱼邮件时匆忙导致的。
因此,当你在邮件中发现错误时,应该引起你的警觉,更加细致地审查邮件内容和要求。
4. 警惕紧急情况和威胁网络钓鱼邮件通常会通过制造紧急情况或者威胁来迫使接收者采取行动。
这些邮件可能声称你的银行账户有异常、要求你更新个人信息、威胁公开你的个人秘密等。
在面对这些邮件时,特别要保持冷静,不要被恐惧和压力左右。
如果你有任何疑虑,应当直接与相关机构或者发件人进行沟通,而不是通过邮件提供的联系方式。
5. 注意域名解析的差异网络钓鱼邮件通常会伪造合法机构的域名,使其看起来与真实域名相同或者非常相似。
然而,在仔细观察时,你可能会发现域名解析存在一些差异。
如何确认电子邮件中的钓鱼攻击并避免被骗
如何确认电子邮件中的钓鱼攻击并避免被骗随着互联网的普及,电子邮件已经成为我们日常生活和工作中不可或缺的一部分。
然而,随之而来的是各种各样的网络安全威胁,其中最常见的就是钓鱼攻击。
钓鱼攻击指的是攻击者通过伪装成可信任的实体,诱骗用户提供个人敏感信息的一种网络欺诈行为。
为了保护自己的隐私和财产安全,我们需要学会如何确认电子邮件中的钓鱼攻击并避免被骗。
首先,我们需要注意邮件的发件人和邮件内容。
钓鱼邮件通常会冒充银行、社交媒体、电商平台等常见机构的名义发送邮件。
因此,在收到此类邮件时,我们应该仔细检查发件人的邮箱地址和邮件内容的真实性。
如果发件人的邮箱地址看起来不太可信,或者邮件内容有语法错误、拼写错误等明显的问题,那么很可能是一封钓鱼邮件。
其次,我们需要警惕邮件中的链接和附件。
钓鱼邮件通常会包含可疑的链接和附件,用来引诱用户点击并下载恶意软件。
因此,在点击邮件中的链接或下载附件之前,我们应该先仔细检查链接的URL是否与正常的网址相符,避免点击不明来源的链接。
另外,如果邮件附件的文件格式看起来奇怪或不常见,或者收到的附件并不是我们预期的文件,那么我们应该保持警惕,不要随意打开附件,以免被恶意软件感染。
此外,我们还应该留意邮件中的紧急性和威胁语气。
钓鱼邮件通常会利用紧急性和威胁语气来诱使用户迅速采取行动,从而让我们失去冷静思考的机会。
因此,在收到这类邮件时,我们应该保持冷静,不要被威胁所吓倒,更不要盲目地提供个人敏感信息。
如果邮件中要求我们提供账号密码、银行卡号、身份证号等敏感信息,那么很可能是一封钓鱼邮件。
最后,我们可以通过一些技术手段来确认邮件的真实性。
首先,我们可以使用电子邮件客户端提供的反垃圾邮件功能,将垃圾邮件自动过滤到垃圾箱中。
其次,我们可以通过查看邮件的邮件头信息来判断邮件的来源和真实性。
邮件头信息可以告诉我们邮件的发送服务器、IP地址等信息,通过对比这些信息和正常邮件的信息,我们可以初步判断邮件的真实性。
判断钓鱼邮件的方法
判断钓鱼邮件的方法如何判断钓鱼邮件随着电子邮件的普及和互联网的发展,钓鱼邮件成为了网络安全领域的一大威胁。
钓鱼邮件指的是通过电子邮件欺骗用户点击链接、下载恶意附件或者提供个人敏感信息的欺诈行为。
为了保护个人隐私和防止财产损失,我们需要学会如何判断钓鱼邮件。
本文将介绍几种常见的判断方法,帮助读者识别和避免钓鱼邮件的风险。
1. 查看邮件发送者的信息钓鱼邮件常常伪装成合法的机构或者公司发送,但是发送者的邮件地址往往存在一些细微的差异。
我们应该仔细查看邮件地址,判断其是否与真实的机构或者公司一致。
如果发现有任何不寻常的地方,比如拼写错误或者使用了非官方的域名,那么很有可能是钓鱼邮件。
2. 观察邮件的正文内容钓鱼邮件往往通过制造紧急或者重要的情境来引诱用户点击链接或者提供个人信息。
我们应该注意观察邮件的正文内容,判断是否存在语法错误、拼写错误或者不合逻辑的表达。
如果邮件内容让人感到不自然或者怀疑,那么很有可能是钓鱼邮件。
3. 谨慎对待威胁和奖励钓鱼邮件常常会威胁用户或者诱惑用户点击链接或者下载附件。
我们应该保持警惕,不要被威胁或者奖励所迷惑。
如果收到威胁邮件,比如说要关闭账户或者停止服务,我们可以直接联系相关机构或者公司,确认邮件的真实性。
如果收到奖励邮件,比如说中奖通知或者免费提供某种服务,我们应该仔细审查邮件内容,判断是否真实可信。
4. 悬停鼠标查看链接钓鱼邮件中常常包含伪装的链接,点击这些链接可能导致恶意软件的下载或者个人信息的泄露。
我们可以悬停鼠标在链接上方,观察浏览器底部的状态栏,判断链接的真实目的地。
如果链接的目的地与邮件内容不符或者是一个不可信的网站,那么很有可能是钓鱼邮件。
5. 不轻易点击附件钓鱼邮件常常会包含恶意附件,点击这些附件可能导致电脑感染病毒或者遭受其他安全威胁。
我们应该谨慎对待附件,不轻易点击或者下载。
如果附件来自不可信的发件人或者是一个不常见的文件类型,我们应该删除这封邮件,以免给自己带来风险。
识别钓鱼邮件的常见方法
识别钓鱼邮件的常见方法随着互联网的普及和发展,钓鱼邮件成为了网络安全领域中的一个重要问题。
钓鱼邮件指的是冒充合法机构或个人发送的欺骗性邮件,目的是引诱接收者点击邮件中的链接,从而获取其个人信息或进行其他不法行为。
为了保护个人隐私和财产安全,我们需要学会识别钓鱼邮件。
本文将介绍一些常见的方法来识别钓鱼邮件。
我们可以从邮件的发件人地址入手。
钓鱼邮件往往假冒正规机构或公司的名义发送,但发件人地址往往会有一些细微的差别。
我们可以仔细观察发件人地址的拼写和格式,注意是否有额外的字符或数字,以及是否与正规机构的邮件地址一致。
如果发现有任何不寻常之处,就要提高警惕。
我们可以审查邮件的内容和语法。
钓鱼邮件通常存在语法错误、拼写错误或用词不当的情况。
如果收到的邮件存在这些问题,那么很可能是一封钓鱼邮件。
此外,钓鱼邮件往往使用紧急事件或恐吓手段来引起接收者的紧张和焦虑,从而促使其点击邮件中的链接。
因此,如果邮件内容充满了紧急性和恐吓性,我们要保持冷静,不要轻易点击链接。
第三,我们可以观察邮件中的链接和附件。
钓鱼邮件中的链接通常会引导接收者访问一个模仿合法网站的钓鱼网站,从而获取个人信息。
我们可以将鼠标悬停在链接上,观察链接地址是否与邮件内容相符。
此外,我们还可以通过查看链接的协议部分,如http或https,来判断链接的安全性。
如果链接的协议部分是http,那么它很可能是一个钓鱼链接。
关于附件,我们应该小心不要随意打开未知来源的附件,因为它们可能包含恶意软件。
第四,我们可以使用反钓鱼工具来辅助识别钓鱼邮件。
很多网络安全公司都开发了针对钓鱼邮件的反钓鱼工具,可以帮助我们自动识别和过滤钓鱼邮件。
这些工具可以通过检测邮件的发件人地址、链接和内容等方面的特征来判断邮件的真实性。
使用这些工具可以大大提高我们对钓鱼邮件的识别能力。
我们还可以从邮件的布局和格式入手。
正规的机构或公司往往有统一的邮件格式和布局,而钓鱼邮件通常缺乏这种统一性。
如何识别和防止网络钓鱼邮件
如何识别和防止网络钓鱼邮件网络钓鱼邮件是一种通过伪装成合法机构或个人发送的虚假邮件,目的是欺骗用户提供敏感信息或进行非法活动。
为了保护自己的个人信息和财产安全,我们需要学会识别和防止网络钓鱼邮件。
本文将介绍一些识别和防止网络钓鱼邮件的方法。
一、识别网络钓鱼邮件的特征1. 发件人地址:网络钓鱼邮件的发件人地址常常是伪造的,看起来与原本的发件人相似。
但仔细观察,你可能会发现地址中存在拼写错误、多余的字符或其他异常情况。
如果你对发件人地址存在疑问,应该进一步核实。
2. 内容要求:网络钓鱼邮件通常以紧急、重要信息为诱饵,要求你立即采取行动或提供个人敏感信息,如银行账号、密码等。
合法的机构很少通过邮件来要求你提供这些信息,因此对于这类要求,你应该保持警惕。
3. 链接和附件:网络钓鱼邮件中的链接和附件可能包含恶意软件,一旦点击或下载,你的电脑和个人信息将面临风险。
如果你收到邮件中包含的链接或附件来路不明或你没有预期收到此类邮件,不要轻易点击或下载。
二、防止成为网络钓鱼邮件的受害者1. 保持良好的网络安全意识:学习有关网络钓鱼邮件的知识,时刻保持警惕。
了解网络钓鱼的常见手法和特点,学会识别可疑邮件,从而最大程度地降低成为受害者的风险。
2. 验证发件人身份:对于你不确定的邮件,验证发件人身份是很重要的。
可以通过其他渠道联系发件人,如电话或官方网站,核实邮件的真实性。
不要通过邮件中提供的电话号码或网址联系对方,因为这些信息可能被篡改。
3. 不要随意点击链接或下载附件:网络钓鱼邮件中的链接和附件往往是形成攻击的入口。
在点击链接或下载附件之前,验证其来源的可信度。
可以将鼠标停留在链接上,观察链接是否与所声称的目标一致。
或者,你可以手动输入可能的有效网址来访问所声称的网站。
4. 更新和使用安全软件:及时更新你的操作系统、浏览器和杀毒软件。
这些软件的更新通常包含对新发现的安全漏洞的修复,能够提供更好的保护。
另外,确保你的电脑上安装了可靠的防火墙和反间谍软件,以提高网络安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第45卷第6期2019年6月北京工业大学学报JOURNAL OF BEIJING UNIVERSITY OF TECHNOLOGYVol.45No.6Jun.2019基于密度与距离的钓鱼邮件检测方法王秀娟,张晨曦,唐昊阳,陶元睿(北京工业大学信息学部,北京 100124)摘 要:针对钓鱼邮件检测过程中提取特征数量愈加庞大,检测效果没有明显提升且时间成本增加这一问题,提出了一种钓鱼邮件检测方法.该方法提出将原始的42维邮件特征转换为2个新特征,即基于密度的特征和基于距离的特征,检测准确率最高可达99.74%,分类时间仅需3.39s,是传统算法的1/20.实验结果表明,该方法具有较好的检测效果,并且降低了时间成本.关键词:机器学习;钓鱼邮件;特征提取;维度缩减;支持向量机中图分类号:TP 393.098文献标志码:A文章编号:0254-0037(2019)06-0546-08doi :10.11936/bjutxb2017110027收稿日期:2017⁃11⁃13基金项目:国家重点研发计划资助项目(2017YFB0802703);国家自然科学基金资助项目(61602052)作者简介:王秀娟(1979 ),女,讲师,主要从事信号与信息处理㊁物联网㊁网络安全方面的研究,E⁃mail:xjwang@Phishing E⁃mail Detection Method Based on Density and DistanceWANG Xiujuan,ZHANG Chenxi,TANG Haoyang,TAO Yuanrui(Faculty of Information Technology,Beijing University of Technology,Beijing 100124,China)Abstract :Phishing E⁃mail detection methods are mostly focused on the extraction of different E⁃mail features,which lead the time increasing.To solve this problem,a method based on density and distance was proposed.The method replaces the 42original mail features with 2new ones,i.e.,features based on density and distance.Then the machine learning classification algorithm was used to detect phishing E⁃mail.The detection accuracy of the proposed method reaches 99.74%,and time is only 3.39s,which is 1/20of the traditional algorithm.Results show that the algorithm has a better detection performance and saves much time.Key words :machine learning;phishing E⁃mail;feature extraction;dimensionality reduction;supportvector machine (SVM) 随着网络技术的发展,电子邮件成为人们日常沟通交流必不可少的一种通信方式.据互联网数据中心(Internet Data Center,IDC)统计,到2016年,全球约有32亿人在使用电子邮件[1].但是,电子邮件使用率的大量增长也给人们带来了各种各样的安全隐患,例如钓鱼邮件.钓鱼邮件是指利用伪装的电子邮件,欺骗收件人将账号㊁口令等敏感信息回复给指定的接收者,或引导收件人链接到特定的网页[2].这些网页通常会伪装成真实网站,从原来单一地仿冒淘宝等电子商务网站,到仿冒中国工商银行等银行网站,再到证券㊁票务㊁团购㊁网游等网站,令登录者信以为真,导致在网页上输入的银行卡号码㊁账户名称及密码等信息被盗[3].据中国反钓鱼联盟统计,截至2016年11月累计认定并处理钓鱼网站385169个,受害人数高达4411万,损失高达200亿元[4].因此,钓鱼邮件检测技术的研究刻不容缓.近年来,钓鱼邮件的形式发展迅猛,相应的钓鱼邮件检测技术也在不断地更新.然而,目前大部分的相关文献都致力于增加邮件中的各种特征.已有 第6期王秀娟,等:基于密度与距离的钓鱼邮件检测方法文献涉及的特征值已经达到上百种,将原始数据表示为简单且具有较大关联性的高维特征[5],增加了分类器的训练集测试负担.因此,本文提出一种用于钓鱼邮件检测的新的特征表示方法.新的特征是使用基于密度的度量和基于距离的度量来表示原始邮件特征.本文将这种钓鱼邮件检测方法命名为基于密度与距离的钓鱼邮件检测方法(phishing detection method based on density and distance,PDMBD).1 相关工作1.1 钓鱼检测技术现有的钓鱼检测技术主要有3类:基于黑白名单的检测技术㊁基于启发式规则的检测技术㊁基于机器学习的检测技术[6].用基于黑白名单的检测技术维护一份黑名单列表,在该列表中记录已确认为钓鱼网站的统一资源定位符(uniform resource locator,URL)㊁互联网协议(Internet protocol,IP)地址或者关键词等信息.人们可以通过黑名单准确识别钓鱼网站[7].这项技术简单方便,但是具有易引起漏判㊁更新时效低等情况[8].基于启发式规则的检测技术[9]根据钓鱼网站之间存在的相似性设计启发式规则,指导钓鱼网站检测.这种技术能够克服黑白名单检测技术的高漏判率问题[9],但是对于大规模数据则存在误报率高和更新规则难的缺点[8].基于机器学习的检测技术将钓鱼网站或者钓鱼邮件看作文本,使用文本分类或者聚类的方法进行检测[8].目前,大部分文献中使用到的钓鱼邮件识别技术都是通过增加㊁删除邮件中提取出来的特征,有效地检测钓鱼邮件.2006年,Fette等[10]提出使用10种针对钓鱼邮件的特征,利用多种分类器进行训练和测试.Khonji等[11]将特征的数量增加到47个.Iqbal等[12]提取了419个邮件特征.这些方法实现了较高的检测准确率,但牺牲了计算效率. 1.2 维度缩减技术随着邮件特征维度的不断上升,邮件检测的准确率并没有得到更大的提升,反而检测时间开始下降.因此,研究者在检测钓鱼邮件方法中引入了维度缩减技术以解决上述问题.机器学习中的维度缩减技术主要分为两大类:特征选择和特征提取.特征选择是从特征集合中挑选一组最具统计意义的特征,即特征选择后的特征集合是原有特征的一个子集.常用的方法包括基于信息增益㊁卡方选择等[13].特征提取将原始特征转换为一组具有明显物理意义或者统计意义的特征,即特征抽取后的新特征能够精确地表示样本信息,尽可能少丢失原有样本信息.常用的方法有:主成分分析(principal component analysis,PCA)㊁线性判别分析(linear discriminant analysis,LDA)㊁独立成分分析(independent component analysis,ICA)等[13].然而,研究者使用的维度缩减方法并不局限于上述提到的常用方法.很多研究者提出了自己的特征表示方法,找出数量更少㊁更具有代表性的特征向量,这些向量能够更加精准地表示原始数据,从而实现维度缩减.例如Tsai等[14]提出了一种基于一个三角形区域的特征提取方法,该特征向量能够更加有效地表示高维数据.维度缩减技术在钓鱼邮件检测中的运用非常广泛,Toolan等[15]使用了信息增益技术对特征进行选择.但是这种降维方法只能在原始数据上进行选择,被选择的特征并不能完整地保留所有的数据信息.Zareapoor等[16]使用PCA和潜在语义分析(latent semantic analysis,LSA)方法对邮件特征进行降维处理,然后再使用分类器进行分类.这种降维方法对映射关系的选择要求较高,若选择的映射关系不能有效地对数据信息进行提取,会导致检测结果偏差较大.本文的方法基于从邮件中提取常规内容特征,挖掘邮件数据分布的结构特征,用密度和距离来重新表征邮件,利用分类器实现钓鱼邮件检测.2 PDMBDPDMBD框图如图1所示,本文所提的PDMBD 算法主要分为3个模块:邮件特征提取模块㊁新特征形成模块和分类模块.图1 PDMBD框图Fig.1 PDMBD block diagram首先从邮件中提取出常规邮件特征,形成一个高维度的特征矩阵.然后通过本文提出的新的维度缩减方法,将高维度的特征矩阵,转换成基于新特征745北 京 工 业 大 学 学 报2019年表示的低维特征矩阵.最后调用分类器进行邮件分类,检测出钓鱼邮件.因此,本文的核心工作是如何将高维特征矩阵替换成低维矩阵,那么寻找新特征进行有效的替换就成为关键问题.2.1 寻找新特征高维特征在进行分类检测的时候会造成时间消耗长㊁准确率下降等问题,因此,需要降低特征的维度.为了在缩减数据维度的同时,还能够精确地保持原始特征的信息,需要寻找到有效的新特征.密度和距离这2个度量值在数据挖掘的应用上具有较高的使用率.Wang 等[17]使用密度这一数值进行快速聚类.郑金彬等[18]提出了一种基于密度的分布式聚类算法研究,算法中也使用了密度峰值.Lin 等[19]使用了基于距离的特征进行入侵检测.马萌[20]提出了一种基于流形距离的聚类算法.常用的机器学习算法,比如K 均值聚类方法(K ⁃means clustering algorithm,K ⁃Means )㊁最近邻算法(K ⁃nearest neighbor,K ⁃NN),都使用到了距离进行聚类或分类.因此,本文拟采用距离与密度这2个数据分布结构特征代表原始数据.为了验证其可行性,作者分别统计了原始特征表征的邮件样本距离和密度分布,结果如图2㊁3所示.图2 原始邮件特征距离分布散点图Fig.2 Scatter plot of original E⁃mail featuresdistance distribution图3 原始邮件特征密度分布散点图Fig.3 Scatter plot of original E⁃mail featuresdensity distribution从图中可以看出,正常邮件的距离值集中在5左右,密度值集中在6000以上.而钓鱼邮件的距离值主要分布在5~15,密度值主要分布在0~3500,表明基于距离的特征和基于密度的特征对于原始邮件有较强的区别力,且保留了较完整的信息.这2个特征可以精确地替代原始数据,以达到维度缩减的目的.本文为了进一步验证新特征的有效性,在实验部分与另外2种降维的方法进行了对比,即用距离特征代替原始特征和信息增益.2.2 提取邮件特征目前,有大量的相关文献提取了各种邮件特征进行钓鱼邮件的分类检测.例如Toolan 等[15]提取了40种邮件特征,其中包含9个基于邮件正文的特征,8个基于主题的特征,13个基于URL 的特征,6个JavaScript 特征,4个发件人特征.比较经典的有文献[10],Fette 等提取了10个邮件特征,这10个邮件特征是钓鱼邮件检测常用的基础特征.Khonji 等[11]提取了47个邮件特征,除了与文献[15]类似的基于邮件正文的特征㊁主题的特征㊁URL 的特征㊁JavaScript 特征㊁发件人特征等以外,还加入了2类外部特征,即垃圾邮件过滤器的标记和打分机制.本文综合了文献[10⁃11,15],提取出使用率较高的42维特征,如表1所示.从邮件中提取出这42维原始特征,较为完整地表现出了邮件的各层信息.表1 特征向量说明Table 1 Feature vector instructions特征类别特征名称解释subject has keyword bank [15]二进制,主题中含有关键词bank,value 为1subject has keyword debit [15]二进制,主题中含有关键词debit,value 为1subject has keyword FW [15]二进制,主题中含有关键词FW (转发邮件),value 为1基于主题的特征subject has keyword RE [15]二进制,主题中含有关键词RE (回复邮件),value 为1subject haskeyword verify [15]二进制,主题中含有关键词verify,value 为1subject word number [11]数值,主题中词的数量subject characternumber [11]数值,主题中字符的数量845 第6期王秀娟,等:基于密度与距离的钓鱼邮件检测方法续表1 特征类别特征名称解释subject richness[11]数值,主题丰富度,词的数量/字符的数量发件人特征sender and reply⁃to addresses[11]二进制,发件人地址和reply⁃to地址不同,value为1sender domain ismodal domain[11]二进制,发件人邮箱地址不是使用最频繁的域名,value为1suspension[11]二进制,邮件中含有单词suspension”,value为1Dear[11]二进制,邮件中含有单词dear”,value记为1 verify youraccount[11]二进制,邮件中含有词组verify your account”,value为1html emails[10]二进制,邮件中含有HTML内容,value记为1邮件正文特征multiparts[11]二进制,邮件中含有Multiput的MIME类型,value记为1The existence ofbody forms[11]二进制,邮件中含有HTMLform,value为1emial richness[11]数值,邮件正文丰富度body_noCharacteraccountnumber[11]数值,邮件中含有account单词的个数suspendednumber[11]数值,邮件中含有suspended单词的个数unique_word_no[15]数值,不重复的单词个数Number ofdots[10]数值,域名中包含dot的个数Here links to non⁃model domain二进制,使用最频繁的链接域名中含有 click㊁here㊁link”,value为1Age if linked_todomain[10]域名注册时间(取最小值)Number ofexternal[11]数值,external链接的个数the existence ofport number[11]二进制,任意URL中含有端口号,value为1续表1 特征类别特征名称解释Number of port[11]数值,包含端口号的URL个数Number of@[11]数值,链接中出现 @”的个数Number of IPaddress[10]数值,包含IP地址的URL的个数IP_based URLs[10]二进制,URL使用IP地址URL特征Number ofdomains[10]数值,连接使用域名数量Number of links[10]数值,链接数量NonmatchingURLs[10]二进制,超链接与link text存在差异;link text:文本描述㊁图片描述等url click[11]二进制,任意文本连接中含有click,value为1url here[11]二进制,任意文本连接中含有here,value为1internal linknumber[11]数值,internal链接的个数;internal链接:指可以在电子邮件中指向邮件内部资源的链接linked imagenumber[11]数值,邮件中图片链接的个数;图片链接:需要点击图片进行跳转onClick JavaScriptevents[11]二进制,邮件中含有onClick”JavaScript事件,value为1javascript from anunmodaldomain[11]二进制,邮件中有Javascript加载不是常见域名的外部网页,value为1JavaScript特征change status[11]二进制,邮件中含有JavaScript代码改变状态栏,value为1pop⁃up window[11]二进制,邮件中含有JavaScript代码打开弹出窗口,value为1the existence ofjavascript[15]二进制,邮件中包含Javascript,value为12.3 新特征定义通过2.1可知,密度和距离这2个特征可以有效并精确地将42维原始特征缩减成2维.因此,用基于密度的特征ρi和基于距离的特征D i组成的二945北 京 工 业 大 学 学 报2019年维特征(ρi,D i)代替原始邮件特征.2.3.1 基于距离的特征定义聚类可以发现数据分布的特性,相关文献表明,聚类中心和最近邻居点可以有效表征数据点的分布信息.Wang等[21]使用数据点与最近邻居点的距离和数据点与聚类中心的距离2个值进行了入侵检测,检测效果达到了97.04%,超过了支持向量机(support vector machine,SVM)和K⁃NN的检测率.因此,本算法采用文献[21]中距离特征的定义方法.对数据点A基于距离的特征的定义为D A=d1A+d2A(1)式中d1A表示数据点A到所有聚类中心的距离之和,定义为d1A=d(AC1)+d(AC2)+ +d(AC N)=∑N k=1d(AC k)(2)式中d(AC k)表示A点与第k个聚类中心C k的距离.聚类中心可使用机器学习中的K⁃Means聚类算法计算得到.K⁃Means聚类算法中的K值代表类别数,在算法计算过程中K值由使用者根据需要进行定义.本文中使用K⁃Means聚类算法对邮件数据集进行聚类,找到每个类的聚类中心.邮件数据集中只包含正常邮件和钓鱼邮件2种类型,因此,聚类中心有2个,定义K等于2.d2A表示数据点A到其最近邻居点的距离,本文采用欧氏距离计算方法.则d2A定义为d2A=d(A,neigh N(A))(3) A的邻居点用neigh(A)表示,neigh N(A)表示A′点的最近邻居点,定义公式为neigh N(A)=argmin A i d(A,A i)(4)即与A距离最短的邻居点为A的最近邻居点. 2.3.2 基于密度的特征定义在几何计算中,通常将空间区域中点的数目与区域面积的比值称为空间密度.对于一个点,它的空间局部密度是一定距离内的空间邻近域中点的个数与该邻近域面积的比值.为了方便计算局部密度,Wang等[21]使用了一种全局密度计算方法计算数据点的局部密度特征,即每一个数据点在一定范围内包含数据点的总个数.具体而言,局部密度定义为ρi=∑j X(d ij-d c)(5)式中:d c为一个截断距离,由人工选择;d ij为i点到j 点的距离.以数据点i为圆心,d c为半径画一个圆,在圆内的数据点个数即为该点i的局部密度,即计算每个点与i点的距离,取小于d c的数据点个数.但是该定义方法存在一定缺陷.图4中, 表示一个聚类1,㊃表示另一个聚类2,根据定义式(5)计算i点的局部密度,ρi=6.若以同样的截断距离d c计算j点局部密度和z点的局部密度,ρj=0,ρz=5.通过结果分析,i点的局部密度与z点更加接近,与j点差别较大,i点和z点应为同一类别,但实际上却是i点和j点为同一类别.因此,这种全局中的局部密度计算方法对类似于i点的数据点并不能很好地进行定义.图4 局部密度计算方法Fig.4 Local density calculation method本文在这种局部密度定义上进行改进,提出另一种局部密度计算方法 聚类中的密度计算方法.聚类中的密度是指每一个数据点在一定范围内包含的其所属聚类中数据点的个数,定义为ρi=∑j X(d ij-d c),i,j∈C k(6)式中:d c依然表示一个截断距离,由人工选择;d ij表示i点到j点的距离,这里i点和j点属于同一个K⁃Means聚类之后的类别.2.4 分类本文使用机器学习中常用的K⁃NN分类器㊁SVM分类器㊁随机森林分类器对2.3中得到的二维数据进行分类.3 实验3.1 实验设置3.1.1 数据集选择本文采用了钓鱼邮件检测领域常用的数据集验证算法的性能,其中钓鱼邮件从下载.正常邮件来自于安然邮件数据集(Enron E⁃mail dataset).该数据集通过认知学习助手和组织(cognitive assistant that learns and organizes,CALO)055 第6期王秀娟,等:基于密度与距离的钓鱼邮件检测方法项目收集整理,由约150个用户的数据组成一个文件夹,用户主要是安然公司的高级管理人员.该数据集共包含约0.5MB的消息,由联邦能源管理委员会调查并张贴到网络上.本文从这2个数据集中,提取出42维特征数据进行量化归一处理后,分别计算每个样本的D i和ρi值,得到数据集的最终特征矩阵.3.1.2 分类过程本文使用分类算法对二维特征向量(ρi,D i)进行检测.检测过程使用十折交叉验证方法(10⁃fold cross⁃validation),将数据随机分成10组,重复做10次实验,每次取1组作为测试集,9组作为训练集.分类算法选择K⁃NN分类器㊁SVM分类器和随机森林分类器(random forests,RF).3.1.3 评价标准准确率㊁检测率和虚警率是最常见的性能评价标准.Devaraju等[22]使用检测率和虚警率评价算法性能.Tsai等[14]使用准确率和检测率评价算法性能.Wang等[23]使用准确率㊁检测率和虚警率评价算法性能.因此,PDMBD算法的性能评价使用的评价标准公式为Acc=TP+TNTP+TN+FP+FN(7)Det=TP TP+FP(8)Fal=FP FP+TN(9)式中:Acc表示准确率;Det表示检测率;Fal表示虚警率;TP表示钓鱼邮件被正确归类为钓鱼邮件的数量; TN表示普通邮件被正确归类为普通邮件的数量;FP 表示普通邮件被错误归类为钓鱼邮件的数量;FN表示钓鱼邮件被错误归类为普通邮件的数量.3.2 实验结果在计算密度特征的时候,截断距离d c的选择是人工进行的,d c的选择不同,会影响分类结果.为了选取合适的参数值,在实验中统计点与点之间的距离取值范围,分别选取了2%的最大距离值㊁20%的最大距离值㊁40%的最大距离值㊁60%的最大距离值㊁80%的最大距离值作为截断距离d c计算局部密度,得到的分类结果如图5所示.从图中可以看出,3种分类器的准确率都是在截断距离取值为最大距离值60%时达到最大值,K⁃NN的准确率为99.74%,SVM的准确率为94.45%,RF的准确率为98.69%,之后逐步下降.图5 截断距离取值性能对比Fig.5 Different truncated distance performance而K⁃NN和RF分类器的检测率和虚警率都与准确率一样,在截断距离取值为最大距离值60%时达到最大值.K⁃NN的检测率为99.77%,虚警率为0.31%;RF的检测率为99.72%,虚警率为0.38%. SVM分类器不稳定,但是也在截断距离取值为最大距离值60%时得到相对较高的值,检测率为99.25%,虚警率为1.00%.分类时间随着截断距离取值增大而减少.因此,截断距离d c取值为最大距离值60%时,分类效果最好.为了验证PDMBD的有效性,本文选取了几组对照组进行结果比较.将本文提出的PDMBD作为155北 京 工 业 大 学 学 报2019年实验组,从图5分析得知,截断距离选取最大距离值60%时效果最佳,因此,在验证PDMBD 有效性时,使用该截断距离下的分类结果.对没有经过任何处理的原始42维特征矩阵使用分类器进行分类,作为对照组Ⅰ.为了验证密度特征向量的有效性,只保留PDMBD 中距离这一维特征进行分类,作为对照组Ⅱ.最后,使用信息增益方法对原始特征进行信息选择,为了和PDMBD 进行对比,只采用增益值最大的前两维特征构造降维后的特征矩阵,将该特征矩阵的分类结果作为对照组Ⅲ.对比结果如图6所示.图6 不同特征分类对比Fig.6 Results of different features 从图中可以看出,无论是哪种分类器,PDMBD的准确率㊁检测率都要高于距离特征和信息增益特征选择方法,虚警率是4种方法中最低的.虽然原始特征方法的准确率㊁检测率在4种方法中最好,但是PDMBD 与其相差甚微,甚至在K ⁃NN 分类器中PDMBD 的准确率和检测率还要优于原始特征.表2列出了几组方案的分类时间对比结果,可以看出,PDMBD 的时间消耗最少,且只有原始特征的4.3%,因此,PDMBD 极大提高了钓鱼邮件的检测效率.表2 不同方法的消耗时间对比Table 2 Time⁃consuming comparison amongdifferent methods项目原始特征方法距离特征方法信息增益方法PDMBD t /s 78.258.5398.173.39维度缩减比例1∶11∶421∶211∶214 结论1)本文提出了一种钓鱼邮件检测方法PDMBD.该方法首先使用K ⁃Means 算法,找出聚类中心,然后计算每个样本特征向量到聚类中心的距离和最近邻居点距离,从而得到了样本点的距离特征.此外,本文还定义了一种局部密度作为样本点的密度特征,有效地将原始特征矩阵替代为简单而具有代表性的二维向量.2)本文利用monkey 数据集和安然数据集进行训练和测试,验证了PDMBD 的性能.实验结果表明,本文提出的钓鱼邮件检测方法有效地提高了准确率㊁检测率和虚警率,并且时间性能也比原始特征矩阵有明显提高.参考文献:[1]中文互联网数据资讯中心.IDC:预测2016年全球网民用户数达32亿人[R /OL].[2016⁃12⁃22].http:∥ /archives /422330.html.[2]CHOWDHURY M U,ABAWAJY J H,KELAREV A V,et al.Multilayer hybrid strategy for phishing email zero⁃day filtering [J ].Concurrency &Computation Practice &Experience,2016,29(23):623⁃639.[3]杨明,杜彦辉,刘晓娟.网络钓鱼邮件分析系统的设计与实现[J].中国人民公安大学学报(自然科学版),2012(72):214⁃226.YANG M,DU Y H,LIU X J.The design andimplementation of phishing email analysis system [J ].Journal of Chinese People’s Public Security University(Natural Science Edition),2012(72):214⁃226.(in255 第6期王秀娟,等:基于密度与距离的钓鱼邮件检测方法Chinese)[4]中国反钓鱼联盟.中国反钓鱼联盟2016年11月月报[R/OL].[2016⁃12⁃22].http:∥/. [5]WU L,DU X,WU J.Effective defense schemes for phishing attacks on mobile computing platforms[J].IEEE Transactions on Vehicular Technology,2016,65(8): 6678⁃6691.[6]CHOWDHURY M U,ABAWAJY J H,KELAREV A V, et al.Multilayer hybrid strategy for phishing email zero⁃day filtering[J].Concurrency&Computation Practice& Experience,2016,29(23):56⁃74.[7]PRAKASH P,KUMAR M,KOMPELLA R R,et al. Phishnet:predictive blacklisting to detect phishing attacks [C]∥Proceedings of IEEE International Conference on Computer Communications.Washington DC:IEEE Computer Society,2010:1⁃5.[8]邹学强,张鹏,黄彩云,等.基于页面布局相似性的钓鱼网页发现方法[J].通信学报,2016(增刊1):116⁃124.ZOU X Q,ZHANG P,HUANG C Y,et al.Phishing Web page discovery method based on similarity of page layout [J].Journal of Communication,2016(Suppl1):116⁃124.(in Chinese)[9]VARSHNEY G,MISRA M,ATREY P K.A survey and classification of Web phishing detection schemes[J]. Security&Communication Networks,2016,9:6266⁃6284.[10]FETTE I,SADEH N,TOMASIC A.Learning to detectphishing emails[C]∥International Conference on WorldWide Web,WWW2007.New York:ACM,2007:649⁃656.[11]KHONJI M,IRAQI Y,JONES A.Enhancing phishing e⁃mail classifiers:a lexical URL analysis approach[J].International Journal to Information Security Research,2013,3(1):236⁃245.[12]IQBAL F,BINSALLEEH H,FUNG B C M,et al.Mining writeprints from anonymous e⁃mails for forensicinvestigation[J].Digital Investigation,2010,7(1/2):56⁃64.[13]潘锋.特征提取与特征选择技术研究[D].南京:南京航空航天大学,2011.PAN F.Research on feature extraction and featureselection[D].Nanjing:Nanjing University ofAeronautics&Astronautics,2011.(in Chinese) [14]TSAI C F,LIN C Y.A triangle area based nearestneighbors approach to intrusion detection[J].PatternRecognition,2010,43(1):222⁃229.[15]TOOLAN F,CARTHY J.Feature selection for spam andphishing detection[C]∥Ecrime Researchers Summit(Ecrime).Washington DC:IEEE Computer Society,2010:1⁃12.[16]ZAREAPOOR M,SHAMSOLMOALI P,ALAM M A.Highly discriminative features for phishing emailclassification by SVD[J].Advances in IntelligentSystems&Computing,2015,339:649⁃656. [17]WANG S,WANG D,CAOYUAN L I,et al.Clusteringby fast search and find of density peaks with data field[J].Chinese Journal of Electronics,2016,25(3):397⁃402.[18]郑金彬,卓义宝.基于密度的分布式聚类算法研究[J].计算机工程,2008,34(17):65⁃67.ZHENG J B,ZHUO Y B.Density based distributedclustering algorithm[J].Computer Engineering,2008,34(17):65⁃67.(in Chinese)[19]LIN W C,KE S W,TSAI C F.CANN:an intrusiondetection system based on combining cluster centers andnearest neighbors[J].Knowledge⁃Based Systems,2015,78(1):13⁃21.[20]马萌.基于流形距离的聚类算法研究及其应用[D].西安:西安电子科技大学,2009.MA M.Research and application of clustering algorithmbased on manifold distance[D].Xi’an:Xi’an Electronicand Science University,2009.(in Chinese) [21]WANG X J,ZHAN C X,ZHENG K F.Intrusiondetection algorithm based on density,cluster centers,andnearest neighbors[J].China Communications,2016,13(7):24⁃31.[22]DEVARAJU S,RAMAKRISHNAN S.Detection ofattacks for IDS using association rule mining algorithm[J].Iete Journal of Research,2015,61(6):624⁃633.[23]WANG F N.Solving the intrusion detection problem withKPCA⁃RVM[C]∥Design,Manufacturing andMechatronics.Singapore:World Scientific,2015:520⁃527.(责任编辑 梁 洁)355。