1.一種郵箱惡意自動轉發行為識別方法，包括以下步驟：

（1）從接入的網絡流量中抽取POP/IMAP/SMTP協議數據，對抽取的協議數據進行解析，形成郵件元數據集F={M₁，M₂，…，M_n}，其中M_i表示一條郵件數據，其為包含from_i，to_i，s_i，t_i的四元組，from為郵件發件人，to為郵件收件人，s為郵件主題，t為郵件發送時間，i∈[1,n]，n為郵件元數據數量，發件人from_i和收件人to_i格式均為username@hostname的字符串，username代表郵箱登錄用戶名，hostname代表郵箱服務提供商；

（2）對郵件元數據集進行數據清洗，并將清洗后數據整合、排序形成一個有序數據集；

（3）從完整的有序數據集中提取要檢測的特定時間區間內的數據，形成一個待檢測數據文件，設定滑動窗口時間，對待檢測數據文件中每條數據以滑動窗口為范圍向前搜索數據，按設定規則篩選具有自動轉發關系的郵件，并提取轉發源、轉發目標和轉發比例，生成郵件自動轉發關系列表，其中所述設定規則是指在所述滑動窗口時間內存在兩條按時間先后順序排列的郵件元數據，前一個元數據中的收件人為后一個元數據中的發件人，且兩個郵件數據主題相同，則判定前一條元數據中的收件人將郵件自動轉發至后一個元數據中的收件人，轉發源為前一個元數據中的收件人，轉發目標為后一個元數據中的收件人；

（4）過濾掉郵件自動轉發關系列表中轉發比例低于設定閾值的轉發關系，并對相似的轉發目標進行歸并，對歸并形成的每一類轉發目標，統計其轉發源數量，若同類轉發目標對應的轉發源數量超過設定閾值，則判定這些轉發源與其轉發目標之間存在惡意自動轉發行為；

其中，通過以下步驟歸并形成每一類轉發目標：

a）對各轉發目標進行字符串處理，得到郵箱登錄用戶名，其中所述字符串處理包括：刪除各轉發目標中郵箱登錄用戶名的純數字最大右子串；

b）對具有相同郵箱登錄用戶名的轉發目標，若郵箱服務提供商相同，則歸并為一類。