[发明专利]一种电子邮件正文威胁行为的识别方法在审
申请号: | 201710594139.7 | 申请日: | 2017-07-20 |
公开(公告)号: | CN107171950A | 公开(公告)日: | 2017-09-15 |
发明(设计)人: | 刘岩;蔡斌;钟鸣;顾晓鸣;曹芸;陈侃黎;钱巍斌;周伟;冯天兵;汪传毅;何正宇;唐海强;金浩纯;石英超;杨波 | 申请(专利权)人: | 国网上海市电力公司 |
主分类号: | H04L12/58 | 分类号: | H04L12/58;H04L29/06 |
代理公司: | 上海兆丰知识产权代理事务所(有限合伙)31241 | 代理人: | 屠轶凡 |
地址: | 200122 上*** | 国省代码: | 上海;31 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 电子邮件 正文 威胁 行为 识别 方法 | ||
1.一种电子邮件正文威胁行为的识别方法,包括下列步骤:
邮件收取步骤:收取电子邮件;
协议包数据解析步骤:对该电子邮件的正文进行协议包数据解析,从该电子邮件的正文中解析出至少一个数据区和至少一个代码区;
代码区行为三元组化步骤:将该电子邮件的正文的每个代码区中的数据格式化为一个三元组;
威胁行为识别步骤:将每个所述三元组的序列与威胁行为模式库中的威胁行为模式三元组的序列进行比对;若发现其中任意一个所述三元组的序列与所述威胁行为模式库中的任意一个威胁行为模式三元组的序列匹配,则判定该电子邮件的正文存在威胁行为。
2.根据权利要求1所述的一种电子邮件正文威胁行为的识别方法,其特征在于:其还包括从所述电子邮件的正文部分,分离出所述电子邮件的正文的header和所述电子邮件的正文的body的正文分离步骤;
协议包数据解析步骤:从所述电子邮件的正文的header解析出代码[header]和数据[header],从所述电子邮件的正文的body解析出代码[body]和数据[body];
代码区行为三元组化步骤:将代码[header]中的数据格式为代码[header][三元组],将代码[body]中的数据格式化为代码[body][三元组];
威胁行为识别步骤:将代码[header][三元组]的序列和代码[body][三元组]的序列分别与威胁行为模式库中的威胁行为模式三元组的序列进行比对。
3.根据权利要求2所述的一种电子邮件正文威胁行为的识别方法,其特征在于:正文分离步骤中,根据MIME格式,从所述电子邮件的正文,分离出所述电子邮件的正文的header和所述电子邮件的正文的body。
4.根据权利要求2所述的一种电子邮件正文威胁行为的识别方法,其特征在于:所述协议包数据解析步骤,对所述电子邮件的正文的header进行协议包数据解析,将所述电子邮件的正文的header中的收件人、发件人解析为数据[header],将所述电子邮件的正文的header中的其余信息解析为代码[header]。
5.根据权利要求2所述的一种电子邮件正文威胁行为的识别方法,其特征在于:所述协议包数据解析步骤,对所述电子邮件的正文的body进行协议包数据解析,将所述电子邮件的正文的body中的图像、声音、动画解析为数据[body];将所述电子邮件的正文的body中的其余信息解析为代码[body]。
6.根据权利要求1所述的一种电子邮件正文威胁行为的识别方法,其特征在于:代码区行为三元组化步骤所生成的三元组均为集合{数据集合、动作集合、目标集合}的子集。
7.根据权利要求6所述的一种电子邮件正文威胁行为的识别方法,其特征在于:所述数据集合为{cookie,content,localdata,exetypefile};
所述动作集合为{Redirect,Contain,GET,POST,PUT,TRACE};
所述目标集合为{distrustNoDomainHost}。
8.根据权利要求1所述的一种电子邮件正文威胁行为的识别方法,其特征在于:邮件收取步骤利用POP3、IMAP协议收取电子邮件。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国网上海市电力公司,未经国网上海市电力公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710594139.7/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种全自动超音频淬火机的夹料机构
- 下一篇:真空退火炉