[发明专利]一种电子邮件正文威胁行为的识别方法在审
申请号: | 201710594139.7 | 申请日: | 2017-07-20 |
公开(公告)号: | CN107171950A | 公开(公告)日: | 2017-09-15 |
发明(设计)人: | 刘岩;蔡斌;钟鸣;顾晓鸣;曹芸;陈侃黎;钱巍斌;周伟;冯天兵;汪传毅;何正宇;唐海强;金浩纯;石英超;杨波 | 申请(专利权)人: | 国网上海市电力公司 |
主分类号: | H04L12/58 | 分类号: | H04L12/58;H04L29/06 |
代理公司: | 上海兆丰知识产权代理事务所(有限合伙)31241 | 代理人: | 屠轶凡 |
地址: | 200122 上*** | 国省代码: | 上海;31 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 电子邮件 正文 威胁 行为 识别 方法 | ||
技术领域
本发明涉及网络安全领域的一种电子邮件正文威胁行为的识别方法。
背景技术
没有附件的电子邮件不代表是一封安全的电子邮件,所以对正文进行威胁行为识别尤为必要,可以更好的预防未知攻击。
传统的电子邮件安全检测仅以电子邮件中的附件为对象进行安全检测,而忽略了正文部分的安全检测,同时,检测机制基本以静态特征检测为主,而静态特征的检测无法识别未知类型的攻击。
发明内容
本发明的目的是为了克服现有技术的不足,提供一种电子邮件正文威胁行为的识别方法,通过共性描述威胁行为的本质特征,检测电子邮件的正文的威胁行为,脱离了基于静态特征检测的传统方法,能够检测到电子邮件的正文中更多的威胁行为。
实现上述目的的一种技术方案是:一种电子邮件正文威胁行为的识别方法,包括下列步骤:
邮件收取步骤:收取电子邮件;
协议包数据解析步骤:对该电子邮件的正文进行协议包数据解析,从该电子邮件的正文中解析出至少一个数据区和至少一个代码区;
代码区行为三元组化步骤:将该电子邮件的正文的每个代码区中的数据格式化为一个三元组;
威胁行为识别步骤:将每个所述三元组的序列与威胁行为模式库中的威胁行为模式三元组的序列进行比对;若发现其中任意一个所述三元组的序列与所述威胁行为模式库中的任意一个威胁行为模式三元组的序列匹配,则判定该电子邮件的正文存在威胁行为。
进一步的,所述电子邮件正文威胁行为的识别方法还包括从所述电子邮件的正文部分,分离出所述电子邮件的正文的header和所述电子邮件的正文的body的正文分离步骤;
协议包数据解析步骤:从所述电子邮件的正文的header解析出代码 [header]和数据[header],从所述电子邮件的正文的body解析出代码 [body]和数据[body];
代码区行为三元组化步骤:将代码[header]中的数据格式为代码 [header][三元组],将代码[body]中的数据格式化为代码[body][三元组];
威胁行为识别步骤:将代码[header][三元组]的序列和代码 [body][三元组]的序列分别与威胁行为模式库中的威胁行为模式三元组的序列进行比对。
再进一步的,正文分离步骤中,根据MIME格式,从所述电子邮件的正文,分离出所述电子邮件的正文的header和所述电子邮件的正文的 body。
再进一步的,所述协议包数据解析步骤,对所述电子邮件的正文的 header进行协议包数据解析,将所述电子邮件的正文的header中的收件人、发件人解析为数据[header],将所述电子邮件的正文的header中的其余信息解析为代码[header]。
再进一步的,所述协议包数据解析步骤,对所述电子邮件的正文的 body进行协议包数据解析,将所述电子邮件的正文的body中的图像、声音、动画解析为数据[body];将所述电子邮件的正文的body中的其余信息解析为代码[body]。
进一步的,代码区行为三元组化步骤所生成的三元组均为集合{数据集合、动作集合、目标集合}的子集。
进一步的,所述数据集合为{cookie,content,localdata, exetypefile};
所述动作集合为{Redirect,Contain,GET,POST,PUT,TRACE};
所述目标集合为{distrustNoDomainHost}。
进一步的,邮件收取步骤利用POP3、IMAP协议收取电子邮件。
采用了本发明的一种电子邮件正文威胁行为的识别方法的技术方案,包括下列步骤:邮件收取步骤:收取电子邮件;协议包数据解析步骤:对该电子邮件的正文进行协议包数据解析,从该电子邮件的正文中解析出至少一个数据区和至少一个代码区;代码区行为三元组化步骤:将该电子邮件的正文的每个代码区中的数据格式化为一个三元组;威胁行为识别步骤:将每个所述三元组的序列与威胁行为模式库中的威胁行为模式三元组的序列进行比对;若发现其中任意一个所述三元组的序列与所述威胁行为模式库中的任意一个威胁行为模式三元组的序列匹配,则判定该电子邮件的正文存在威胁行为。其技术效果是:通过对电子邮件的正文进行深度的威胁行为识别,确保用户电子邮件信息的隐私安全。
附图说明
图1为本发明的一种电子邮件正文威胁行为的识别方法的流程图。
图2为采用本发明的一种电子邮件正文威胁行为的识别方法的邮件识别系统的示意图。
具体实施方式
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国网上海市电力公司,未经国网上海市电力公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710594139.7/2.html,转载请声明来源钻瓜专利网。
- 上一篇:一种全自动超音频淬火机的夹料机构
- 下一篇:真空退火炉