[发明专利]电子邮箱地址扫描行为的判断方法

权利要求书

1.电子邮箱地址扫描行为的判断方法，其特征包括：

A.通过安全设备对外来邮件和/或外部邮件源进行拦截，如果所拦截的外来邮件和/或外部邮件源能够匹配安全设备中的黑名单记录，则断开网络连接和邮件通信协议，否则继续执行；

B.邮箱地址扫描分析系统获取至少包括邮件头和邮件体的邮件信息，通过对无效邮箱地址的判断，对外来邮件和/或外部邮件源是否存在电子邮箱地址扫描行为进行分析，所述的分析至少包括单位时间内邮箱地址无效次数分析、枚举地址分析、同一发件人分析、相同主题或内容分析，或邮箱后缀分析中的至少一种；

C.根据步骤A和B的结果，如果判断为扫描行为，则将发件人的邮件特征信息加入黑名单进行拦截，否则按正常邮件处理。

2.如权利要求1所述的电子邮箱地址扫描行为的判断方法，其特征为：步骤A中如果所拦截的外来邮件和/或外部邮件源匹配了安全设备中的白名单记录，安全设备对外来邮件放行，按正常邮件处理。

3.如权利要求2所述的电子邮箱地址扫描行为的判断方法，其特征为：步骤A中如果所拦截的外来邮件和/或外部邮件源在安全设备中的黑名单记录和白名单记录均没有匹配，安全设备对外来邮件放行，同时电子邮件系统产生邮件日志，供步骤B中的邮箱地址扫描分析系统进行分析。

4.如权利要求1所述的电子邮箱地址扫描行为的判断方法，其特征为：步骤B中，邮箱地址扫描分析系统将获取到的邮件信息中的邮件头中的字段根据简单邮件传输协议和邮件日志进行所述的分析。

5.如权利要求1的电子邮箱地址扫描行为的判断方法，其特征为：步骤B中，无效邮箱地址分析为：根据SMTP的状态码判断收件人邮箱地址的真实或无效。

6.如权利要求1至5之一的电子邮箱地址扫描行为的判断方法，其特征为：步骤B中，

单位时间内邮箱地址无效次数分析为：统计在邮件日志记录中的单位时间内记录邮箱地址无效的次数，如果该次数超过阀值M1，则判断为邮箱地址扫描行为；

枚举地址分析：如果收件人地址信息中具有枚举特征，并且具有枚举特征的收件人地址数量超过了阈值M2，则判断为邮箱地址扫描行为；

同一发件人分析：如果同一发件人地址发送邮件到多个收件人，并且邮件日志中收件人返回的无效邮箱地址记录的数量超过了阈值M3，则判断为邮箱地址扫描行为；

相同主题或内容分析：如果不同发件人地址发送同一邮件主题和/或内容到多个收件人，并且邮件日志中收件人返回的无效邮箱地址记录的数量超过了阈值M4，则判断为邮箱地址扫描行为；

邮箱后缀分析：如果发件人地址来自同一邮箱地址域名后缀，并且邮件日志中收件人返回的无效邮箱地址记录的数量超过了阈值M5，则判断为邮箱地址扫描行为；

将判断为邮箱地址扫描行为的发件人信息加入黑名单进行拦截。

7.如权利要求6所述的电子邮箱地址扫描行为的判断方法，其特征为：在步骤B判断的正常邮件中，如果邮件日志中收件人返回的无效邮箱地址记录的数量超过了阈值M6，则将发件人的邮箱信息发送给管理员，由管理员进行人工分析，如果判断为邮箱地址扫描行为，将发件人信息加入黑名单进行拦截。

8.如权利要求7所述的电子邮箱地址扫描行为的判断方法，其特征为：邮箱地址扫描分析系统采集邮件日志记录，根据邮件服务器在设定的时间周期内接收的正常邮件和地址无效邮件的数量建立模型，动态调整各阈值，并根据不同的分析类型给各阈值设置不同的权重。