[发明专利]一种基于行为分析的邮件审计方法及装置

说明书

本发明提供了一种基于行为分析的邮件审计方法及装置，该方法包括：获取待审计邮件的邮件信息；根据预设特征库分别对邮件头信息和邮件正文信息进行特征标签的设置；根据特征标签对待审计邮件进行风险检测，检测得到待审计邮件是否为钓鱼邮件的信息。在本发明中，能够实现对不包含有效载荷的邮件进行检测，同时，根据特征标签进行风险检测能够提高检测效率和检测的准确性，缓解了传统的邮件审计方法准确性差的技术问题。

技术领域

本发明涉及信息安全的技术领域，尤其是涉及一种基于行为分析的邮件审计方法及装置。

背景技术

目前，中国网民的普及率已经超过了全球平均水平，但随之产生的网络安全的形式也越来越严峻。各种网络木马、恶意攻击、勒索诈骗等恶意手段层出不穷。而邮件则是大部分攻击的重要入侵手段之一。钓鱼邮件是指包括语义诱导、伪装欺骗、恶意骚扰等内容的邮件。

目前的邮件审计普遍还是停留在对邮件中所包含的有效载荷(链接和附件)进行检测，当其中包含的有效载荷不安全时，则确定该邮件为钓鱼邮件。具体过程为：获取邮件中的有效载荷，然后对获取到的有效载荷的安全性进行检测，进而确定邮件的安全性。但是，对于有些骗取信任和诱导欺骗的邮件，邮件中不存在链接或者附件，但是邮件内容是采用具有伪造和诱导性质的文字，企图获取对方信任，并使之泄露信息或者骗取财物，带来不可忽视的隐患。而现有的邮件审计方法无法对该种邮件的安全性进行检测，很容易产生漏报(本来应该是钓鱼邮件，但是未发现)。

另外，目前的邮件内容越来越丰富，想要提取能将正常邮件和钓鱼邮件都区分开来的特征也越来越难。比如，传统的审计方法会将包含身份验证特征的IP链接的邮件归为钓鱼邮件，而在实际环境中，假如邮件发送方是具有身份验证标签的管理员，那么这个邮件实际为正常邮件，即传统的方法会将原本安全的邮件归为钓鱼邮件，产生误报。

综上，传统的邮件审计方法中，钓鱼邮件检测的准确性差。

发明内容

有鉴于此，本发明的目的在于提供一种基于行为分析的邮件审计方法及装置，以缓解传统的邮件审计方法准确性差的技术问题。

第一方面，本发明实施例提供了一种基于行为分析的邮件审计方法，包括：

获取待审计邮件的邮件信息，其中，所述邮件信息包括：邮件头信息和邮件正文信息；

根据预设特征库分别对所述邮件头信息和所述邮件正文信息进行特征标签的设置，其中，所述预设特征库包括：邮件来源特征库，邮件涉及行业特征库，邮件行为特征库；

根据所述特征标签对所述待审计邮件进行风险检测，检测得到所述待审计邮件是否为钓鱼邮件的信息。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，获取待审计邮件的邮件信息包括：

获取所述待审计邮件；

根据多用途互联网邮件扩展类型标准对所述待审计邮件进行解析，得到所述待审计邮件的邮件信息。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，获取所述待审计邮件包括：

在网络流量中提取邮件数据流，其中，所述邮件数据流至少包括：SMTP协议的数据流，IMAP协议的数据流，POP协议的数据流，WEBMALL协议的数据流；

对所述邮件数据流进行解析，进而得到邮件格式的待审计邮件；

或者，

在邮件格式的文件中读取所述待审计邮件。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，根据预设特征库分别对所述邮件头信息和所述邮件正文信息进行特征标签的设置包括：