本發明提供了一種基于行為分析的郵件審計方法及裝置，該方法包括：獲取待審計郵件的郵件信息；根據預設特征庫分別對郵件頭信息和郵件正文信息進行特征標簽的設置；根據特征標簽對待審計郵件進行風險檢測，檢測得到待審計郵件是否為釣魚郵件的信息。在本發明中，能夠實現對不包含有效載荷的郵件進行檢測，同時，根據特征標簽進行風險檢測能夠提高檢測效率和檢測的準確性，緩解了傳統的郵件審計方法準確性差的技術問題。

技術領域

本發明涉及信息安全的技術領域，尤其是涉及一種基于行為分析的郵件審計方法及裝置。

背景技術

目前，中國網民的普及率已經超過了全球平均水平，但隨之產生的網絡安全的形式也越來越嚴峻。各種網絡木馬、惡意攻擊、勒索詐騙等惡意手段層出不窮。而郵件則是大部分攻擊的重要入侵手段之一。釣魚郵件是指包括語義誘導、偽裝欺騙、惡意騷擾等內容的郵件。

目前的郵件審計普遍還是停留在對郵件中所包含的有效載荷(鏈接和附件)進行檢測，當其中包含的有效載荷不安全時，則確定該郵件為釣魚郵件。具體過程為：獲取郵件中的有效載荷，然后對獲取到的有效載荷的安全性進行檢測，進而確定郵件的安全性。但是，對于有些騙取信任和誘導欺騙的郵件，郵件中不存在鏈接或者附件，但是郵件內容是采用具有偽造和誘導性質的文字，企圖獲取對方信任，并使之泄露信息或者騙取財物，帶來不可忽視的隱患。而現有的郵件審計方法無法對該種郵件的安全性進行檢測，很容易產生漏報(本來應該是釣魚郵件，但是未發現)。

另外，目前的郵件內容越來越豐富，想要提取能將正常郵件和釣魚郵件都區分開來的特征也越來越難。比如，傳統的審計方法會將包含身份驗證特征的IP鏈接的郵件歸為釣魚郵件，而在實際環境中，假如郵件發送方是具有身份驗證標簽的管理員，那么這個郵件實際為正常郵件，即傳統的方法會將原本安全的郵件歸為釣魚郵件，產生誤報。

綜上，傳統的郵件審計方法中，釣魚郵件檢測的準確性差。

發明內容

有鑒于此，本發明的目的在于提供一種基于行為分析的郵件審計方法及裝置，以緩解傳統的郵件審計方法準確性差的技術問題。

第一方面，本發明實施例提供了一種基于行為分析的郵件審計方法，包括：

獲取待審計郵件的郵件信息，其中，所述郵件信息包括：郵件頭信息和郵件正文信息；

根據預設特征庫分別對所述郵件頭信息和所述郵件正文信息進行特征標簽的設置，其中，所述預設特征庫包括：郵件來源特征庫，郵件涉及行業特征庫，郵件行為特征庫；

根據所述特征標簽對所述待審計郵件進行風險檢測，檢測得到所述待審計郵件是否為釣魚郵件的信息。

結合第一方面，本發明實施例提供了第一方面的第一種可能的實施方式，其中，獲取待審計郵件的郵件信息包括：

獲取所述待審計郵件；

根據多用途互聯網郵件擴展類型標準對所述待審計郵件進行解析，得到所述待審計郵件的郵件信息。

結合第一方面，本發明實施例提供了第一方面的第二種可能的實施方式，其中，獲取所述待審計郵件包括：

在網絡流量中提取郵件數據流，其中，所述郵件數據流至少包括：SMTP協議的數據流，IMAP協議的數據流，POP協議的數據流，WEBMALL協議的數據流；

對所述郵件數據流進行解析，進而得到郵件格式的待審計郵件；

或者，

在郵件格式的文件中讀取所述待審計郵件。

結合第一方面，本發明實施例提供了第一方面的第三種可能的實施方式，其中，根據預設特征庫分別對所述郵件頭信息和所述郵件正文信息進行特征標簽的設置包括：