1.一種面向鏈接偽裝的魚叉攻擊郵件發(fā)現(xiàn)方法，其步驟包括：

1)從待處理的郵件協(xié)議數(shù)據(jù)中獲取待檢測郵件的郵件元數(shù)據(jù)和附件信息；

2)從所述待檢測郵件的正文中提取所有的鏈接地址和鏈接內(nèi)容；

3)根據(jù)預設(shè)的檢測規(guī)則以及所配置的云附件特征庫對提取信息進行檢測，判定對應(yīng)郵件是否為可疑惡意郵件；

4)對判定為可疑惡意郵件的附件名稱、郵件主題進行語言識別和主題識別，判斷所述可疑惡意郵件是否具有定向性；若具有定向性，則判定對應(yīng)郵件為魚叉攻擊郵件；

其中判定郵件是否為可疑惡意郵件的方法為：

11)判斷待檢測的鏈接內(nèi)容是否為URL，若為URL，則截取URL中的域名；

12)截取待檢測的鏈接地址中的域名；判斷鏈接內(nèi)容中的域名與鏈接地址中的域名是否匹配，如果不匹配則認為該鏈接為仿冒鏈接，對應(yīng)郵件為可疑惡意郵件；如果匹配則進行步驟13)；

13)統(tǒng)計待檢測的鏈接中“/”的個數(shù)以及鏈接域名的長度；若鏈接中“/”的個數(shù)為1，且鏈接域名的長度小于指定閾值，則判斷該鏈接為短鏈接，對應(yīng)郵件為可疑惡意郵件；否則，執(zhí)行步驟14)；

14)計算該鏈接的短碼中數(shù)字出現(xiàn)的概率，若概率超過設(shè)定閾值H1，則判斷該鏈接為短鏈接，對應(yīng)郵件為可疑惡意郵件；否則，執(zhí)行步驟15)；

15)統(tǒng)計該短碼中元音字母出現(xiàn)的概率，若概率低于閾值H2，則判斷該鏈接為短鏈接，對應(yīng)郵件為可疑惡意郵件；否則，執(zhí)行步驟16)；

16)計算該短碼的熵值，若熵值超過設(shè)定閾值H3，則判斷該鏈接為短鏈接，對應(yīng)郵件為可疑惡意郵件；否則為正常鏈接，執(zhí)行步驟17)；

17)判斷待檢測郵件是否有附件，若有附件，則根據(jù)云附件特征庫與郵件正文內(nèi)容進行匹配，若匹配成功，則判斷該附件為云附件，執(zhí)行步驟18)；

18)根據(jù)設(shè)定的主流郵件系統(tǒng)名稱列表，與郵件正文中云附件下載鏈接前后N個字符進行匹配，得到該云附件服務(wù)名稱，并根據(jù)云附件服務(wù)名稱得到對應(yīng)的云附件服務(wù)下載鏈接域名；

19)截取待檢測的云附件實際下載鏈接中的域名；判斷云附件服務(wù)下載鏈接域名與云附件實際下載鏈接中的域名是否匹配；若不匹配，則判斷該云附件實際下載下載鏈接為仿冒，對應(yīng)郵件為可疑惡意郵件；否則為正常郵件。