[发明专利]电子邮件用户行为监测方法和装置

权利要求书

1.一种电子邮件用户行为监测方法，其特征在于，包括以下步骤：

接收用户的与电子邮件相关的操作信息并分析得到所述操作信息中的命令码，过滤命令码不符合电子邮件协议的所述操作信息；

根据命令码对符合电子邮件协议的所述命令码的操作信息进行分类，并记录操作信息来源的IP地址；

根据所述操作信息的类型，利用接收操作信息的历史记录，找出具有危险性的操作信息；

对于具有危险性的所述操作信息，确定发送所述操作信息的IP地址和用户信息以进行相应的安全处理。

2.根据权利要求1所述的方法，其特征在于，

所述过滤具体为：丢弃命令码不符合所述电子邮件协议的的操作信息，并继续监听端口以获取新的命令码，对于保留符合所述协议的命令码的操作信息以进行后续处理。

3.根据权利要求1所述的方法，其特征在于，

将所述操作信息进行分类包括：将所述操作信息分类为针对用户及用户登录密码的操作信息和针对用户邮件的操作信息。

4.根据权利要求3所述的方法，其特征在于，所述判断具体为：

基于所述历史记录判断距离当前预设时间段内，已经重复接收到与所述操作信息一致的操作信息的次数是否超过可接受或者设定的次数的上限；

其中，在两条操作信息的命令码相同且发送用户相同时，则将这两条操作信息确认为相一致。

5.根据权利要求4所述的方法，其特征在于，

对于针对用户及用户登录密码的操作，判断是否对同一用户的密码进行多次输入、是否对多用户进行多次输入和/或是否对用户名进行多次输入；

对于针对用户邮件的操作，判断是否对同一用户或多个用户的进行预设时间段内大量发送邮件的操作，和/或预设时间内大量读取、下载邮件的操作。

6.根据权利要求3所述的方法，其特征在于，相应的安全处理为：

对于针对用户及用户登录密码的操作，对操作来源的IP地址进行预设时间的或者永久的封杀；

对与针对用户邮件的操作，暂停该用户的使用，等待管理员重新激活该用户。

7.根据权利要求1所述的方法，其特征在于，进一步包括：

对不存在危险性的所述操作，进行正常的用户操作。

8.一种电子邮件用户行为监测装置，其特征在于，包括以下模块：

命令码接收模块，用于接收用户的与电子邮件相关的操作信息并分析得到所述操作信息中的命令码，过滤命令码不符合电子邮件协议的所述操作信息；

命令码分类模块，用于根据命令码对符合电子邮件协议的所述命令码的操作信息进行分类，并记录操作信息来源的IP地址；

危险性判断模块，用于根据所述操作信息的类型，利用接收操作信息的历史记录，找出具有危险性的操作信息；

安全处理模块，用于对于具有危险性的所述操作信息，确定发送所述操作信息的IP地址和用户信息以进行相应的安全处理。

9.根据权利要求8所述的装置，其特征在于，所述安全处理模块进行所述安全处理具体为：

对于针对用户及用户登录密码的操作信息，对操作来源的IP地址进行预设时间的或者永久的封杀；

对与针对用户邮件的操作信息，暂停操作来源用户的使用，等待管理员重新激活该用户。

10.根据权利要求8所述的装置，其特征在于，

所述安全处理模块对不存在危险性的所述操作信息，允许操作来源进行正常的用户操作。