(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111641303.8 (22)申请日 2021.12.3 0 (65)同一申请的已公布的文献号 申请公布号 CN 114004604 A (43)申请公布日 2022.02.01 (73)专利权人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 张海昆　赵林林　童兆丰　薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. G06Q 10/10(2012.01) G06F 16/955(2019.01)G06K 9/62(2022.01) H04L 9/40(2022.01) H04L 61/4511(2022.01) 审查员 李佳玲 (54)发明名称 一种邮件中URL数据的检测方法、 装置、 电子 设备 (57)摘要 本申请实施例提供一种邮件中URL数据的检 测方法、 装置、 电子设备及存储介质， 其中， 该方 法包括： 获取邮件对应的邮件协议； 解析邮件协 议， 得到邮件协议中的URL数据； 将URL数据与威 胁情报数据库的威胁情报数据进行匹配， 若匹配 成功， 将威胁情报数据作为检测结果； 若匹配失 败， 获取URL数据对应的页面信息； 获取页面信息 对应的文件； 对文件进行解析处理， 得到第一检 测结果； 获取页面信息中的ICON图标， 将ICON图 标与图标数据库进行匹配， 得到第二检测结果； 将第一检测结果和第二检测结果生成检测结果。 实施本申请实施例， 可检测到邮件中的恶意的 URL数据， 使得邮件可以进行正常接收， 且对邮件 的过滤速度大 大提升。 权利要求书3页 说明书9页 附图2页 CN 114004604 B 2022.03.29 CN 114004604 B 1.一种邮件中URL数据的检测方法， 其特 征在于， 所述方法包括： 获取邮件 对应的邮件协议； 解析所述邮件协议， 得到所述邮件协议中的URL数据； 将所述URL数据与威胁情报数据库的威胁情报数据进行匹配， 若 匹配成功， 将所述威胁 情报数据作为检测结果； 若匹配失败， 获取 所述URL数据对应的页面信息； 获取所述页面信息对应的文件； 对所述文件进行解析处 理， 得到第一检测结果； 其中， 所述对所述文件进行解析处 理， 得到第一检测结果的步骤， 包括： 读取所述文件中的文档 信息； 提取所述文档 信息在运行 过程中的情 报数据； 根据所述情 报数据获得第一检测结果； 获取所述页面信息中的ICON 图标， 将所述ICON 图标与图标数据库进行匹配， 得到第二 检测结果； 将所述第一检测结果和所述第二检测结果 生成检测结果； 其中， 所述获取所述页面信息中的ICON图标， 将所述ICON图标与图标数据库进行匹配， 得到第二检测结果的步骤， 包括： 获取所述ICON图标的哈希值； 将所述ICON图标的哈希值与所述图标数据库中的每个图标的哈希值进行比较， 若所述 ICON图标的哈希 值等于所述图标数据库中任意一个图标的哈希 值， 获取所述ICON图标对应 的域名； 根据所述 ICON图标对应的域名获得 所述第二检测结果； 其中， 所述 根据所述 ICON图标对应的域名获得 所述第二检测结果的步骤， 包括： 将与哈希值相等的图标对应的域名与所述ICON图标对应的域名进行匹配， 若匹配失 败， 将所述 ICON图标及对应的域名作为所述第二检测结果； 其中， 所述将所述第一检测结果和所述第二检测结果 生成检测结果的步骤， 包括： 若所述情报数据与所述威胁情报数据库中的威胁情报数据匹配成功， 且所述ICON图标 的哈希值不等于所述图标数据库中任意一个图标的哈希值， 所述检测结果为所述情报数据 中匹配到的所述 威胁情报数据； 若所述情报数据与所述威胁情报数据库中的威胁情报数据匹配失败， 且所述ICON图标 的哈希值等于所述图标数据库中任意一个图标的哈希值， 且所述与哈希值相等的图标对应 的域名与所述ICON图标对应的域名匹配失败， 所述检测结果为所述IC ON图标及 对应的所述 域名； 若所述情报数据与所述威胁情报数据库中的威胁情报数据匹配成功， 且所述ICON图标 的哈希值等于所述图标数据库中任意一个图标的哈希值， 且所述与哈希值相等的图标对应 的域名与所述ICON图标对应的域名匹配失败， 所述检测结果为所述ICON图标、 ICON图标对 应的所述 域名和所述情 报数据中匹配到的所述 威胁情报数据。 2.根据权利要求1所述的邮件中URL数据的检测方法， 其特征在于， 所述根据所述情报 数据获得第一检测结果的步骤， 包括： 将所述情 报数据与所述 威胁情报数据库中的威胁情 报数据进行匹配；权　利　要　求　书 1/3 页 2 CN 114004604 B 2若匹配成功， 将所述情 报数据中匹配到的所述 威胁情报数据作为所述第一检测结果。 3.根据权利 要求1所述的邮件中URL数据的检测方法， 其特征在于， 所述将所述URL数据 与威胁情报数据库的威胁情报数据进行匹配， 若匹配成功， 将所述威胁情报数据作为检测 结果； 若匹配失败， 获取 所述URL数据对应的页面信息的步骤， 包括： 若所述URL数据中包含所述威胁情报数据库的威胁情报数据， 则 匹配成功， 将所述URL 数据中匹配到的所述 威胁情报数据作为检测结果； 若所述URL数据中不包含所述威胁情报数据库的威胁情报数据， 则匹配失败， 获取所述 URL数据对应的页面信息 。 4.一种邮件中URL数据的检测装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取邮件 对应的邮件协议； URL解析模块， 用于解析 所述邮件协议， 得到所述邮件协议中的URL数据； URL匹配模块， 用于将所述URL数据与威胁情报数据库的威胁情报数据进行匹配， 若匹 配成功， 将所述威胁情报数据作为检测结果； 若匹配失败， 获取所述URL数据对应的页面信 息； 获取模块， 还用于获取 所述页面信息对应的文件； 文件解析模块， 用于对所述文件进行解析处 理， 得到第一检测结果； 图标匹配模块， 用于获取所述页面信息中的ICON图标， 将所述ICON图标与图标数据库 进行匹配， 得到第二检测结果； 生成模块， 用于将所述第一检测结果和所述第二检测结果 生成检测结果； 所述文件解析模块还用于： 读取所述文件中的文档 信息； 提取所述文档 信息在运行 过程中的情 报数据； 根据所述情 报数据获得第一检测结果； 所述图标匹配模块还用于： 获取所述ICON图标的哈希值； 将所述ICON 图标的哈希值与 所述图标数据库中的每个图标的哈希值进 行比较， 若 所述ICON图标的哈希 值等于所述图标 数据库中任意一个图标的哈希值， 获取所述ICON图标对应的域名； 根据所述ICON图标对应 的域名获得 所述第二检测结果； 所述图标匹配模块还用于： 将与哈希值相等的图标对应的域名与所述ICON图标对应的域名进行匹配， 若匹配失 败， 将所述 ICON图标及对应的域名作为所述第二检测结果； 所述生成模块还用于： 若所述情报数据与所述威胁情报数据库中的威胁情报数据匹配成功， 且所述ICON图标 的哈希值不等于所述图标数据库中任意一个图标的哈希值， 所述检测结果为所述情报数据 中匹配到的所述 威胁情报数据； 若所述情报数据与所述威胁情报数据库中的威胁情报数据匹配失败， 且所述ICON图标 的哈希值等于所述图标数据库中任意一个图标的哈希值， 且所述与哈希值相等的图标对应 的域名与所述ICON图标对应的域名匹配失败， 所述检测结果为所述IC ON图标及 对应的所述 域名； 若所述情报数据与所述威胁情报数据库中的威胁情报数据匹配成功， 且所述ICON图标权　利　要　求　书 2/3 页 3 CN 114004604 B 3