1.一種電子郵件正文威脅行為的識別方法，包括下列步驟：

郵件收取步驟：收取電子郵件；

協(xié)議包數(shù)據(jù)解析步驟：對該電子郵件的正文進(jìn)行協(xié)議包數(shù)據(jù)解析，從該電子郵件的正文中解析出至少一個數(shù)據(jù)區(qū)和至少一個代碼區(qū)；

代碼區(qū)行為三元組化步驟：將該電子郵件的正文的每個代碼區(qū)中的數(shù)據(jù)格式化為一個三元組；

威脅行為識別步驟：將每個所述三元組的序列與威脅行為模式庫中的威脅行為模式三元組的序列進(jìn)行比對；若發(fā)現(xiàn)其中任意一個所述三元組的序列與所述威脅行為模式庫中的任意一個威脅行為模式三元組的序列匹配，則判定該電子郵件的正文存在威脅行為。

2.根據(jù)權(quán)利要求1所述的一種電子郵件正文威脅行為的識別方法，其特征在于：其還包括從所述電子郵件的正文部分，分離出所述電子郵件的正文的header和所述電子郵件的正文的body的正文分離步驟；

協(xié)議包數(shù)據(jù)解析步驟：從所述電子郵件的正文的header解析出代碼[header]和數(shù)據(jù)[header]，從所述電子郵件的正文的body解析出代碼[body]和數(shù)據(jù)[body]；

代碼區(qū)行為三元組化步驟：將代碼[header]中的數(shù)據(jù)格式為代碼[header][三元組]，將代碼[body]中的數(shù)據(jù)格式化為代碼[body][三元組]；

威脅行為識別步驟：將代碼[header][三元組]的序列和代碼[body][三元組]的序列分別與威脅行為模式庫中的威脅行為模式三元組的序列進(jìn)行比對。

3.根據(jù)權(quán)利要求2所述的一種電子郵件正文威脅行為的識別方法，其特征在于：正文分離步驟中，根據(jù)MIME格式，從所述電子郵件的正文，分離出所述電子郵件的正文的header和所述電子郵件的正文的body。

4.根據(jù)權(quán)利要求2所述的一種電子郵件正文威脅行為的識別方法，其特征在于：所述協(xié)議包數(shù)據(jù)解析步驟，對所述電子郵件的正文的header進(jìn)行協(xié)議包數(shù)據(jù)解析，將所述電子郵件的正文的header中的收件人、發(fā)件人解析為數(shù)據(jù)[header]，將所述電子郵件的正文的header中的其余信息解析為代碼[header]。

5.根據(jù)權(quán)利要求2所述的一種電子郵件正文威脅行為的識別方法，其特征在于：所述協(xié)議包數(shù)據(jù)解析步驟，對所述電子郵件的正文的body進(jìn)行協(xié)議包數(shù)據(jù)解析，將所述電子郵件的正文的body中的圖像、聲音、動畫解析為數(shù)據(jù)[body]；將所述電子郵件的正文的body中的其余信息解析為代碼[body]。

6.根據(jù)權(quán)利要求1所述的一種電子郵件正文威脅行為的識別方法，其特征在于：代碼區(qū)行為三元組化步驟所生成的三元組均為集合{數(shù)據(jù)集合、動作集合、目標(biāo)集合}的子集。

7.根據(jù)權(quán)利要求6所述的一種電子郵件正文威脅行為的識別方法，其特征在于：所述數(shù)據(jù)集合為{cookie,content,localdata,exetypefile}；

所述動作集合為{Redirect,Contain,GET,POST,PUT,TRACE}；

所述目標(biāo)集合為{distrustNoDomainHost}。

8.根據(jù)權(quán)利要求1所述的一種電子郵件正文威脅行為的識別方法，其特征在于：郵件收取步驟利用POP3、IMAP協(xié)議收取電子郵件。