[发明专利]一种基于动静结合的邮件安全检测装置及方法

权利要求书

1.一种基于动静结合的邮件安全检测装置，其特征在于：包括：邮件接收装置、邮件预处理模块、静态引擎分析模块、邮件发送模块、定制安全浏览器模块、网络分析模块、动态引擎分析模块、日志分析模块和输出装置模块；

邮件接收装置：用于导入eml.txt格式的标准邮件或根据账号密码信息自动接收邮件服务器的邮件或接收受控网络的电子邮件，并保存相应的邮件信息；

邮件预处理模块：根据邮件的编码类型通过解码得到邮件标题、邮件内容、附件名称、附件内容信息并临时存储；

静态引擎分析模块：获取邮件预处理模块的邮件信息，并将该邮件信息通过正则表达式匹配算法结合静态特征库，将邮件信息中有恶意的特征的代码内容和链接提取出来，并记录下邮件唯一标识、邮件标题、恶意特征、链接、Referer信息，未检测到恶意特征和链接的邮件视为正常邮件并放行，有检测到恶意特征和链接的邮件进一步进行动态引擎分析，对于有真正恶意的邮件做拦截退信处理；

邮件发送模块：对于有恶意特征和链接的邮件，根据解析的邮件相关信息重新整合保持恶意特征和链接，将原有的恶意特征请求的地址替换为装置个性日志的形式输出，构成一封新的邮件发送到邮件服务器，确保恶意特征和链接能够正常触发且不泄露个人隐私数据；

定制安全浏览器模块：兼容多种浏览器内核，能在多种内核环境下高效的检测恶意邮件的行为，同时保证邮件恶意行为能在多种复杂环境下有效触发并能拦截相关数据包防止数据泄露；

网络分析模块：访问日志可用大数据框架进行存储并作历史数据积累；

动态引擎分析模块：采用autoit自动化脚本技术在定制的安全浏览器中自动查看、自动点击相关按钮、链接，并记录敏感行为日志，动态引擎在定制的安全浏览器中采用API监控和注入技术，敏感行为一触发会自动记录日志，一些恶意邮件在查看邮件、点击链接时并不会触发恶意行为，而是在特定的条件下才会触发；

日志分析模块：用于基于日志分析判断是否为恶意邮件，同时检测到恶意邮件，将恶意链接地址的相关特征写入动态特征库；

输出装置模块：该装置将输出正常邮件和恶意邮件，静态检测对于恶意行为的邮件将记录恶意特征代码、恶意链接，动态引擎检测将截图记录下恶意邮件的触发位置，最终将记录下的信息输出成格式为pdf的报告及提供修复邮箱的解决方案。

2.根据权利要求1所述的一种基于动静结合的邮件安全检测装置，其特征在于：大数据分析框架为Hadoop、Solr或Mongodb，利用Hadoop、Solr或Mongodb大数据分析框架的海量数据存储、分析、查询能力提高日志分析能力。

3.根据权利要求1所述的一种基于动静结合的邮件安全检测装置，其特征在于：邮件发送模块发送的邮件将由系统自动在定制的安全浏览器中运行，防止有恶意行为的邮件被触发。

4.根据权利要求1所述的一种基于动静结合的邮件安全检测装置，其特征在于：日志分析模块完成以下步骤：

1、系统动态引擎检测输出了装置个性化日志的，则视为恶意邮件，

2、发起请求连接在动态特征库能匹配到相关特征的，则视为恶意邮件，

3、发起请求的页面存在密码输入控件的，则视为恶意邮件，

4、发起本域或子域下的页面存在获取cookies或操作cookies行为的，则视为恶意邮件。