技術領域

本發明涉及網絡安全領域的一種電子郵件正文威脅行為的識別方法。

背景技術

沒有附件的電子郵件不代表是一封安全的電子郵件，所以對正文進行威脅行為識別尤為必要，可以更好的預防未知攻擊。

傳統的電子郵件安全檢測僅以電子郵件中的附件為對象進行安全檢測，而忽略了正文部分的安全檢測，同時，檢測機制基本以靜態特征檢測為主，而靜態特征的檢測無法識別未知類型的攻擊。

發明內容

本發明的目的是為了克服現有技術的不足，提供一種電子郵件正文威脅行為的識別方法，通過共性描述威脅行為的本質特征，檢測電子郵件的正文的威脅行為，脫離了基于靜態特征檢測的傳統方法，能夠檢測到電子郵件的正文中更多的威脅行為。

實現上述目的的一種技術方案是：一種電子郵件正文威脅行為的識別方法，包括下列步驟：

郵件收取步驟：收取電子郵件；

協議包數據解析步驟：對該電子郵件的正文進行協議包數據解析，從該電子郵件的正文中解析出至少一個數據區和至少一個代碼區；

代碼區行為三元組化步驟：將該電子郵件的正文的每個代碼區中的數據格式化為一個三元組；

威脅行為識別步驟：將每個所述三元組的序列與威脅行為模式庫中的威脅行為模式三元組的序列進行比對；若發現其中任意一個所述三元組的序列與所述威脅行為模式庫中的任意一個威脅行為模式三元組的序列匹配，則判定該電子郵件的正文存在威脅行為。

進一步的，所述電子郵件正文威脅行為的識別方法還包括從所述電子郵件的正文部分，分離出所述電子郵件的正文的header和所述電子郵件的正文的body的正文分離步驟；

協議包數據解析步驟：從所述電子郵件的正文的header解析出代碼 [header]和數據[header]，從所述電子郵件的正文的body解析出代碼 [body]和數據[body]；

代碼區行為三元組化步驟：將代碼[header]中的數據格式為代碼 [header][三元組]，將代碼[body]中的數據格式化為代碼[body][三元組]；

威脅行為識別步驟：將代碼[header][三元組]的序列和代碼 [body][三元組]的序列分別與威脅行為模式庫中的威脅行為模式三元組的序列進行比對。

再進一步的，正文分離步驟中，根據MIME格式，從所述電子郵件的正文，分離出所述電子郵件的正文的header和所述電子郵件的正文的 body。

再進一步的，所述協議包數據解析步驟，對所述電子郵件的正文的 header進行協議包數據解析，將所述電子郵件的正文的header中的收件人、發件人解析為數據[header]，將所述電子郵件的正文的header中的其余信息解析為代碼[header]。

再進一步的，所述協議包數據解析步驟，對所述電子郵件的正文的 body進行協議包數據解析，將所述電子郵件的正文的body中的圖像、聲音、動畫解析為數據[body]；將所述電子郵件的正文的body中的其余信息解析為代碼[body]。

進一步的，代碼區行為三元組化步驟所生成的三元組均為集合{數據集合、動作集合、目標集合}的子集。

進一步的，所述數據集合為{cookie,content,localdata, exetypefile}；

所述動作集合為{Redirect,Contain,GET,POST,PUT,TRACE}；

所述目標集合為{distrustNoDomainHost}。

進一步的，郵件收取步驟利用POP3、IMAP協議收取電子郵件。

采用了本發明的一種電子郵件正文威脅行為的識別方法的技術方案，包括下列步驟：郵件收取步驟：收取電子郵件；協議包數據解析步驟：對該電子郵件的正文進行協議包數據解析，從該電子郵件的正文中解析出至少一個數據區和至少一個代碼區；代碼區行為三元組化步驟：將該電子郵件的正文的每個代碼區中的數據格式化為一個三元組；威脅行為識別步驟：將每個所述三元組的序列與威脅行為模式庫中的威脅行為模式三元組的序列進行比對；若發現其中任意一個所述三元組的序列與所述威脅行為模式庫中的任意一個威脅行為模式三元組的序列匹配，則判定該電子郵件的正文存在威脅行為。其技術效果是:通過對電子郵件的正文進行深度的威脅行為識別，確保用戶電子郵件信息的隱私安全。

附圖說明

圖1為本發明的一種電子郵件正文威脅行為的識別方法的流程圖。

圖2為采用本發明的一種電子郵件正文威脅行為的識別方法的郵件識別系統的示意圖。

具體實施方式