[发明专利]一种基于行为分析的邮件审计方法及装置

权利要求书

1.一种基于行为分析的邮件审计方法，其特征在于，包括：

获取待审计邮件的邮件信息，其中，所述邮件信息包括：邮件头信息和邮件正文信息；

根据预设特征库分别对所述邮件头信息和所述邮件正文信息进行特征标签的设置，其中，所述预设特征库包括：邮件来源特征库，邮件涉及行业特征库，邮件行为特征库；

根据所述特征标签对所述待审计邮件进行风险检测，检测得到所述待审计邮件是否为钓鱼邮件的信息；

其中，根据预设特征库分别对所述邮件头信息和所述邮件正文信息进行特征标签的设置包括：

根据所述邮件头信息和所述邮件正文信息确定所述待审计邮件的目标邮件来源特征，并将所述目标邮件来源特征作为所述待审计邮件的邮件来源标签，其中，所述目标邮件来源特征为所述邮件来源特征库中的特征，所述邮件来源特征库包含多类邮件来源特征，每类邮件来源特征中包含多个来源特征词汇；

根据所述邮件头信息和所述邮件正文信息确定所述待审计邮件所属的目标邮件涉及行业特征，并将所述目标邮件涉及行业特征作为所述待审计邮件的邮件涉及行业标签，其中，所述目标邮件涉及行业特征为所述邮件涉及行业特征库中的特征，所述邮件涉及行业特征库包含多类邮件涉及行业特征，每类邮件涉及行业特征中包含多个行业特征词汇；

根据所述邮件正文信息确定所述待审计邮件的目标邮件行为特征，并将所述目标邮件行为特征作为所述待审计邮件的邮件行为标签，其中，所述目标邮件行为特征为所述邮件行为特征库中的特征，所述邮件行为特征库包含多类邮件行为特征，每类邮件行为特征中包含多个行为特征词汇；

根据所述特征标签对所述待审计邮件进行风险检测包括：

根据所述特征标签采用不同的恶意特征进行匹配；

根据匹配结果进行风险度计算，得到风险值；

如果所述风险值大于预设阈值，则确定所述待审计邮件为钓鱼邮件；

在检测得到所述待审计邮件是否为钓鱼邮件的信息之后，所述方法还包括：

基于所述邮件信息，所述特征标签，所述是否为钓鱼邮件的信息更新所述待审计邮件所对应的发件人信用库。

2.根据权利要求1所述的方法，其特征在于，获取待审计邮件的邮件信息包括：

获取所述待审计邮件；

根据多用途互联网邮件扩展类型标准对所述待审计邮件进行解析，得到所述待审计邮件的邮件信息。

3.根据权利要求2所述的方法，其特征在于，获取所述待审计邮件包括：

在网络流量中提取邮件数据流，其中，所述邮件数据流至少包括：SMTP协议的数据流，IMAP协议的数据流，POP协议的数据流，WEBMALL协议的数据流；

对所述邮件数据流进行解析，进而得到邮件格式的待审计邮件；

或者，

在邮件格式的文件中读取所述待审计邮件。

4.根据权利要求1所述的方法，其特征在于，根据所述邮件头信息和所述邮件正文信息确定所述待审计邮件的目标邮件来源特征包括：

如果所述邮件头信息中存在发件人邮箱地址配置时，则将所述发件人邮箱地址配置作为所述待审计邮件的目标邮件来源特征；

如果不存在所述发件人邮箱地址配置时，则将所述邮件正文信息中的邮件正文句首称呼与所述邮件来源特征库中的来源特征词汇进行匹配，并根据与所述邮件正文句首称呼相匹配的来源特征词汇所属的邮件来源特征确定所述目标邮件来源特征；

如果不存在所述发件人邮箱地址配置，且不存在所述邮件正文句首称呼，则所述目标邮件来源特征为陌生人。

5.根据权利要求1所述的方法，其特征在于，根据所述邮件头信息和所述邮件正文信息确定所述待审计邮件所属的目标邮件涉及行业特征包括：

将所述邮件头信息和所述邮件正文信息分别与所述行业特征词汇进行匹配；

根据与所述邮件头信息和所述邮件正文信息相匹配的行业特征词汇所属的邮件涉及行业特征确定所述目标邮件涉及行业特征。