本發明實施例公開了一種郵件審計方法、裝置和計算機可讀存儲介質，對獲取的流量信息進行解析，獲取特征信息；依據預先建立的特征庫，對特征信息設置對應的特征標簽；利用與特征標簽相對應的審計庫，對特征信息進行檢測，當特征信息滿足預設條件時，則判定流量信息為惡意信息。在該技術方案中，通過依據特征庫對流量信息進行分類，從而根據特征標簽對應的審計庫進行專門的檢測，使得選取出的審計庫更具針對性，提升了釣魚郵件監測的準確性。并且通過設置特征標簽的方式，縮小了對特征信息進行檢測的范圍，從而縮短了檢測所花費的時間，并且降低了不必要的檢測，進一步提升了郵件審計的性能。

技術領域

本發明涉及數據安全技術領域，特別是涉及一種郵件審計方法、裝置和計算機可讀存儲介質。

背景技術

隨著網絡的普及，隨之產生的網絡安全問題也越來越嚴峻。各種網絡木馬、惡意攻擊、勒索詐騙等惡意手段層出不窮。而郵件則是大部分攻擊的重要入侵手段之一。釣魚郵件通過利用偽裝的電郵，欺騙收件人將賬號、口令等信息回復給指定的接收者；或引導收件人連接到特制的網頁，這些網頁通常會偽裝成和真實網站一樣，如銀行或理財的網頁，令登錄者信以為真，輸入信用卡或銀行卡號碼、賬戶名稱及密碼等而被盜取。

釣魚郵件有很多種手段：惡意鏈接、惡意附件、騙取信任、誘導欺騙等。像騙取信任和誘導欺騙這類的釣魚郵件往往沒有明顯的惡意特征，需要人為的理解發件人的意圖，并按照指示操作，造成信息泄露等威脅。這類需要理解語義的郵件，往往沒有有效載荷，如鏈接或者附件等，使用簡單的特征匹配，很難區分出釣魚郵件，因此容易造成誤報、漏報等情況。

可見，如何提升釣魚郵件監測的準確性，是本領域技術人員亟待解決的問題。

發明內容

本發明實施例的目的是提供一種郵件審計方法、裝置和計算機可讀存儲介質，可以提升釣魚郵件監測的準確性。

為解決上述技術問題，本發明實施例提供一種郵件審計方法，包括：

對獲取的流量信息進行解析，以獲取特征信息；

依據預先建立的特征庫，對所述特征信息設置對應的特征標簽；

利用與所述特征標簽相對應的審計庫，對所述特征信息進行檢測，當所述特征信息滿足預設條件時，則判定所述流量信息為惡意信息。

可選的，所述特征庫包括郵件來源特征庫、郵件類型特征庫和郵件行為特征庫。

可選的，所述利用與所述特征標簽相對應的審計庫，對所述特征信息進行檢測，當所述特征信息滿足預設條件時，則判定所述流量信息為惡意信息包括：

依據與所述特征標簽相對應的審計庫，判斷所述特征信息所屬的郵件行為是否為可疑特征；

若是，則依據所述特征信息所屬的郵件來源和郵件類型，確定出所述流量信息的信息可疑度；

當所述信息可疑度超于預設閾值時，則判定所述流量信息為惡意信息。

可選的，在所述利用與所述特征標簽相對應的審計庫，對所述特征信息進行檢測之后還包括：

判斷是否存在與所述特征信息中的發件人信息相匹配的信用庫；

若是，則將所述特征信息及其對應的特征標簽存儲于所述信用庫；

若否，則依據所述發件人信息建立發件人信用庫，并將所述特征信息及其對應的特征標簽存儲于所述發件人信用庫。

可選的，還包括：

檢測信用庫所占用的存儲空間；

當所述信用庫所占用的存儲空間大于或等于上限值時，則將所述信用庫中存儲時間最長的信用信息刪除，直至所述信用庫所占用的存儲空間小于所述上限值。