本發明涉及計算機技術領域，具體涉及一種基于動靜結合的郵件安全檢測裝置及方法，裝置包括郵件接收裝置、郵件預處理模塊、靜態引擎分析模塊、郵件發送模塊、定制安全瀏覽器模塊、網絡分析模塊、動態引擎分析模塊、日志分析模塊和輸出裝置模塊，本發明即將靜態引擎檢測和動態引擎檢測的優點進行有效結合，先對惡意郵件進行解碼靜態分析檢測，對于有異常行為特征的郵件進行解析再發包，到定制的安全瀏覽器中進行動態引擎分析檢測。動靜結合能夠更加全面高效的獲取更多惡意行為信息，同時提取出惡意行為的源碼信息，并且提出郵件惡意行為的有效修復解決方案，是一種高效便捷的惡意郵件檢測裝置。

技術領域

本發明涉及計算機技術領域，具體涉及一種基于動靜結合的郵件安全檢測裝置及方法。

背景技術

隨著互聯網+的快速發展，互聯網金融也遍地生根，互聯網間的信息傳遞郵件是主要的方式之一，第三方的郵件應用商也越來越多，且其也缺乏有效的郵件安全檢測機制和方法，利用電子郵件發起的攻擊是最多且最常見的攻擊方式之一，這樣將導致竊取用戶隱私數據頻繁發生。另外，用戶查看電子郵件的安全意識薄弱也將導致郵件攻擊者有機可乘，大量竊取用戶的隱私數據。

對惡意郵件攻擊的安全檢測方法，目前主要的方式是檢測郵件是否是釣魚郵件，通過郵件內容里的鏈接的相關特征來判斷是否是釣魚郵件，此種方法雖然有效，但存在很大的局限性。

現有的惡意郵件檢測平臺是結合靜態引擎和動態引擎分析，靜態引擎分析是通過對郵件進行解碼后與特征碼進行比較分析，對于存在惡意特征碼的郵件進一步進行動態引擎分析檢測；動態引擎分析檢測是通過郵件預處理再整合發送，讓郵件在定制安全瀏覽器中運行，模擬點擊，檢測郵件在動態引擎分析時是否發起不受信任域的請求等，來判斷是否包含惡意攻擊行為。

現有的郵件安全檢測系統存在比較大的局限性，比如對郵件內容解析再發包，在定制的瀏覽器中動態自動分析的能力顯得比較薄弱，大多沒有解析再發包，在定制的瀏覽器中加入監控日志；一些惡意郵件的觸發條件比較特殊，標簽事件或屬性不足以觸發，還需要結合郵件頭才能觸發，這種狀態的郵件就迫切需要我們設計的裝置來模擬觸發，來發現是真正意義上的惡意郵件。

申請公布號為CN201110020896的專利“一種基于文本特征分析的釣魚郵件檢測方法”和公布號為CN200910073046的專利“基于鏈接域名和用戶反饋的反釣魚郵件系統及方法”中提到提取郵件中的網站鏈接的相關特征來判斷是否是釣魚郵件，這樣雖然有效，但是準確率大大降低，比如特征庫并不能實時更新等原因，靜態引擎的檢測往往不能有效的檢測出惡意行為。

發明內容

解決上述技術問題，本發明提供了一種基于動靜結合的郵件安全檢測裝置及方法，即將靜態引擎檢測和動態引擎檢測的優點進行有效結合，先對惡意郵件進行解碼靜態分析檢測，對于有異常行為特征的郵件進行解析再發包，到定制的安全瀏覽器中進行動態引擎分析檢測。動靜結合能夠更加全面高效的獲取更多惡意行為信息，同時提取出惡意行為的源碼信息，并且提出郵件惡意行為的有效修復解決方案，是一種高效便捷的惡意郵件檢測裝置。

為了達到上述目的，本發明所采用的技術方案是，一種基于動靜結合的郵件安全檢測裝置，包括：郵件接收裝置、郵件預處理模塊、靜態引擎分析模塊、郵件發送模塊、定制安全瀏覽器模塊、網絡分析模塊、動態引擎分析模塊、日志分析模塊和輸出裝置模塊，

郵件接收裝置：用于導入eml.txt格式的標準郵件或根據賬號密碼信息自動接收郵件服務器的郵件或接收受控網絡的電子郵件，并保存相應的郵件信息，

郵件預處理模塊：根據郵件的編碼類型等通過解碼得到郵件標題、郵件內容、附件名稱、附件內容等信息并臨時存儲，