本公開(kāi)提供了一種惡意攻擊郵件分析方法，包括：獲取惡意攻擊郵件投訴；對(duì)被投訴的惡意攻擊郵件進(jìn)行數(shù)據(jù)解析，獲取惡意攻擊郵件的攻擊源地址；上報(bào)惡意攻擊郵件的攻擊源地址，以追溯攻擊源。本公開(kāi)還提供了相應(yīng)的惡意攻擊郵件分析裝置、電子設(shè)備和計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。具體的，該方法包括模糊解析和精確解析兩種解析方式，可以快速準(zhǔn)確的識(shí)別攻擊源地址，以進(jìn)行郵件攻擊源追溯。

技術(shù)領(lǐng)域

本公開(kāi)涉及人工智能技術(shù)領(lǐng)域，尤其涉及一種惡意攻擊郵件分析方法、裝置、電子設(shè)備及介質(zhì)。

背景技術(shù)

隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，惡意網(wǎng)絡(luò)攻擊也隨著互聯(lián)網(wǎng)的發(fā)展而日益增多，危害亦逐步增大。多數(shù)服務(wù)器管理員均有網(wǎng)絡(luò)攻擊的日志記錄，當(dāng)其服務(wù)器遭受網(wǎng)絡(luò)攻擊時(shí)，往往通過(guò)日志追查出攻擊方。從而向攻擊方發(fā)送惡意網(wǎng)絡(luò)攻擊投訴郵件進(jìn)行投訴。由于投訴郵件種類多種多樣，匯總分析依靠人工極其耗時(shí)耗力，因此采集與分析惡意網(wǎng)絡(luò)攻擊投訴信息是一項(xiàng)長(zhǎng)期且艱巨的任務(wù)，使用自動(dòng)化的形式完成惡意網(wǎng)絡(luò)攻擊投訴信息的采集與分析成為了必然趨勢(shì)。

發(fā)明內(nèi)容

鑒于上述問(wèn)題，本發(fā)明提供了一種惡意攻擊郵件分析方法、裝置、電子設(shè)備及介質(zhì)，以實(shí)現(xiàn)惡意攻擊郵件的自動(dòng)分析。

本公開(kāi)的一個(gè)方面提供了一種惡意攻擊郵件分析方法，包括：獲取惡意攻擊郵件投訴；對(duì)被投訴的所述惡意攻擊郵件進(jìn)行解析，從所述惡意攻擊郵件中獲取所述惡意攻擊郵件的攻擊源地址；上報(bào)所述惡意攻擊郵件的攻擊源地址，以追溯攻擊源。

可選地，所述對(duì)被投訴的所述惡意攻擊郵件進(jìn)行數(shù)據(jù)解析，獲取所述惡意攻擊郵件的攻擊源地址包括：檢索所述惡意攻擊郵件的郵件主題、郵件正文和附件中的關(guān)鍵字；將所述關(guān)鍵字與預(yù)設(shè)的IP解析前綴表匹配；當(dāng)所述關(guān)鍵字與所述IP解析前綴表中IP關(guān)鍵字匹配上時(shí)，在所述關(guān)鍵字前后截取預(yù)設(shè)長(zhǎng)度的語(yǔ)句；提取所述預(yù)設(shè)長(zhǎng)度的語(yǔ)句中的IP地址，以所述IP地址為所述攻擊源地址。

可選地，還包括：當(dāng)提取所述預(yù)設(shè)長(zhǎng)度的語(yǔ)句中的IP地址失敗或所述關(guān)鍵字與所述IP解析前綴表中IP關(guān)鍵字匹配失敗時(shí)，再次檢索所述惡意攻擊郵件的郵件主題、郵件正文和附件，以提取其中首個(gè)IP地址為所述攻擊源地址；若所述首個(gè)IP地址提取失敗，給所述惡意攻擊郵件作異常記錄。

可選地，還包括：判定所述攻擊源地址是否合法；當(dāng)所述IP地址不合法時(shí)，給所述惡意攻擊郵件作異常記錄。

可選地，所述方法還包括：判定所述攻擊源地址的準(zhǔn)確率；當(dāng)所述攻擊源地址準(zhǔn)確率為中、高時(shí)，記錄所述攻擊源地址；當(dāng)所述攻擊源地址準(zhǔn)確率為低時(shí)，給所述惡意攻擊郵件作異常記錄。

可選地，所述判定所述攻擊源地址的準(zhǔn)確率包括：識(shí)別所述惡意攻擊郵件的郵件主題、郵件正文和/或附件包括的敏感字符；當(dāng)所述關(guān)鍵字與所述IP解析前綴表中IP關(guān)鍵字匹配上，且識(shí)別出敏感字符時(shí)，判定所述攻擊源地址準(zhǔn)確率為高；當(dāng)所述關(guān)鍵字與所述IP解析前綴表中IP關(guān)鍵字匹配上，且未識(shí)別出敏感字符時(shí)，判定所述攻擊源地址準(zhǔn)確率為低；當(dāng)所述關(guān)鍵字與所述IP解析前綴表中IP關(guān)鍵字匹配失敗，且識(shí)別出敏感字符時(shí)，判定所述攻擊源地址準(zhǔn)確率為中；當(dāng)所述關(guān)鍵字與所述IP解析前綴表中IP關(guān)鍵字匹配失敗，且未識(shí)別出敏感字符時(shí)，判定無(wú)法識(shí)別。

可選地，所述對(duì)被投訴的所述惡意攻擊郵件進(jìn)行數(shù)據(jù)解析，獲取所述惡意攻擊郵件的攻擊源地址包括：基于所述惡意攻擊郵件的郵件主題、郵件正文和/或附件包括的關(guān)鍵字確定攻擊類型；將所述攻擊類型與預(yù)設(shè)的精準(zhǔn)數(shù)據(jù)庫(kù)進(jìn)行匹配；當(dāng)所述精準(zhǔn)數(shù)據(jù)庫(kù)中存在所述攻擊類型時(shí)，基于所述精準(zhǔn)數(shù)據(jù)庫(kù)中對(duì)應(yīng)的解析規(guī)則，在所述惡意攻擊郵件的預(yù)定位置提取攻擊源地址。

本公開(kāi)的另一個(gè)方面提供了一種惡意攻擊郵件分析裝置，包括：攻擊有機(jī)獲取模塊，用于獲取惡意攻擊郵件投訴；郵件解析模塊，用于對(duì)被投訴的所述惡意攻擊郵件進(jìn)行數(shù)據(jù)解析，獲取所述惡意攻擊郵件的攻擊源地址；攻擊源追溯模塊，用于上報(bào)所述惡意攻擊郵件的攻擊源地址，以追溯攻擊源。