[发明专利]一种基于动静结合的邮件安全检测装置及方法

说明书

本发明涉及计算机技术领域，具体涉及一种基于动静结合的邮件安全检测装置及方法，装置包括邮件接收装置、邮件预处理模块、静态引擎分析模块、邮件发送模块、定制安全浏览器模块、网络分析模块、动态引擎分析模块、日志分析模块和输出装置模块，本发明即将静态引擎检测和动态引擎检测的优点进行有效结合，先对恶意邮件进行解码静态分析检测，对于有异常行为特征的邮件进行解析再发包，到定制的安全浏览器中进行动态引擎分析检测。动静结合能够更加全面高效的获取更多恶意行为信息，同时提取出恶意行为的源码信息，并且提出邮件恶意行为的有效修复解决方案，是一种高效便捷的恶意邮件检测装置。

技术领域

本发明涉及计算机技术领域，具体涉及一种基于动静结合的邮件安全检测装置及方法。

背景技术

随着互联网+的快速发展，互联网金融也遍地生根，互联网间的信息传递邮件是主要的方式之一，第三方的邮件应用商也越来越多，且其也缺乏有效的邮件安全检测机制和方法，利用电子邮件发起的攻击是最多且最常见的攻击方式之一，这样将导致窃取用户隐私数据频繁发生。另外，用户查看电子邮件的安全意识薄弱也将导致邮件攻击者有机可乘，大量窃取用户的隐私数据。

对恶意邮件攻击的安全检测方法，目前主要的方式是检测邮件是否是钓鱼邮件，通过邮件内容里的链接的相关特征来判断是否是钓鱼邮件，此种方法虽然有效，但存在很大的局限性。

现有的恶意邮件检测平台是结合静态引擎和动态引擎分析，静态引擎分析是通过对邮件进行解码后与特征码进行比较分析，对于存在恶意特征码的邮件进一步进行动态引擎分析检测；动态引擎分析检测是通过邮件预处理再整合发送，让邮件在定制安全浏览器中运行，模拟点击，检测邮件在动态引擎分析时是否发起不受信任域的请求等，来判断是否包含恶意攻击行为。

现有的邮件安全检测系统存在比较大的局限性，比如对邮件内容解析再发包，在定制的浏览器中动态自动分析的能力显得比较薄弱，大多没有解析再发包，在定制的浏览器中加入监控日志；一些恶意邮件的触发条件比较特殊，标签事件或属性不足以触发，还需要结合邮件头才能触发，这种状态的邮件就迫切需要我们设计的装置来模拟触发，来发现是真正意义上的恶意邮件。

申请公布号为CN201110020896的专利“一种基于文本特征分析的钓鱼邮件检测方法”和公布号为CN200910073046的专利“基于链接域名和用户反馈的反钓鱼邮件系统及方法”中提到提取邮件中的网站链接的相关特征来判断是否是钓鱼邮件，这样虽然有效，但是准确率大大降低，比如特征库并不能实时更新等原因，静态引擎的检测往往不能有效的检测出恶意行为。

发明内容

解决上述技术问题，本发明提供了一种基于动静结合的邮件安全检测装置及方法，即将静态引擎检测和动态引擎检测的优点进行有效结合，先对恶意邮件进行解码静态分析检测，对于有异常行为特征的邮件进行解析再发包，到定制的安全浏览器中进行动态引擎分析检测。动静结合能够更加全面高效的获取更多恶意行为信息，同时提取出恶意行为的源码信息，并且提出邮件恶意行为的有效修复解决方案，是一种高效便捷的恶意邮件检测装置。

为了达到上述目的，本发明所采用的技术方案是，一种基于动静结合的邮件安全检测装置，包括：邮件接收装置、邮件预处理模块、静态引擎分析模块、邮件发送模块、定制安全浏览器模块、网络分析模块、动态引擎分析模块、日志分析模块和输出装置模块，

邮件接收装置：用于导入eml.txt格式的标准邮件或根据账号密码信息自动接收邮件服务器的邮件或接收受控网络的电子邮件，并保存相应的邮件信息，

邮件预处理模块：根据邮件的编码类型等通过解码得到邮件标题、邮件内容、附件名称、附件内容等信息并临时存储，