[发明专利]一种基于动静结合的邮件安全检测装置及方法

摘要

本发明涉及计算机技术领域，具体涉及一种基于动静结合的邮件安全检测装置及方法，装置包括邮件接收装置、邮件预处理模块、静态引擎分析模块、邮件发送模块、定制安全浏览器模块、网络分析模块、动态引擎分析模块、日志分析模块和输出装置模块，本发明即将静态引擎检测和动态引擎检测的优点进行有效结合，先对恶意邮件进行解码静态分析检测，对于有异常行为特征的邮件进行解析再发包，到定制的安全浏览器中进行动态引擎分析检测。动静结合能够更加全面高效的获取更多恶意行为信息，同时提取出恶意行为的源码信息，并且提出邮件恶意行为的有效修复解决方案，是一种高效便捷的恶意邮件检测装置。

主权项

1.一种基于动静结合的邮件安全检测装置，其特征在于：包括：邮件接收装置、邮件预处理模块、静态引擎分析模块、邮件发送模块、定制安全浏览器模块、网络分析模块、动态引擎分析模块、日志分析模块和输出装置模块；邮件接收装置：用于导入eml.txt格式的标准邮件或根据账号密码信息自动接收邮件服务器的邮件或接收受控网络的电子邮件，并保存相应的邮件信息；邮件预处理模块：根据邮件的编码类型通过解码得到邮件标题、邮件内容、附件名称、附件内容信息并临时存储；静态引擎分析模块：获取邮件预处理模块的邮件信息，并将该邮件信息通过正则表达式匹配算法结合静态特征库，将邮件信息中有恶意的特征的代码内容和链接提取出来，并记录下邮件唯一标识、邮件标题、恶意特征、链接、Referer信息，未检测到恶意特征和链接的邮件视为正常邮件并放行，有检测到恶意特征和链接的邮件进一步进行动态引擎分析，对于有真正恶意的邮件做拦截退信处理；邮件发送模块：对于有恶意特征和链接的邮件，根据解析的邮件相关信息重新整合保持恶意特征和链接，将原有的恶意特征请求的地址替换为装置个性日志的形式输出，构成一封新的邮件发送到邮件服务器，确保恶意特征和链接能够正常触发且不泄露个人隐私数据；定制安全浏览器模块：兼容多种浏览器内核，能在多种内核环境下高效的检测恶意邮件的行为，同时保证邮件恶意行为能在多种复杂环境下有效触发并能拦截相关数据包防止数据泄露；网络分析模块：访问日志可用大数据框架进行存储并作历史数据积累；动态引擎分析模块：采用autoit自动化脚本技术在定制的安全浏览器中自动查看、自动点击相关按钮、链接，并记录敏感行为日志，动态引擎在定制的安全浏览器中采用API监控和注入技术，敏感行为一触发会自动记录日志，一些恶意邮件在查看邮件、点击链接时并不会触发恶意行为，而是在特定的条件下才会触发；日志分析模块：用于基于日志分析判断是否为恶意邮件，同时检测到恶意邮件，将恶意链接地址的相关特征写入动态特征库；输出装置模块：该装置将输出正常邮件和恶意邮件，静态检测对于恶意行为的邮件将记录恶意特征代码、恶意链接，动态引擎检测将截图记录下恶意邮件的触发位置，最终将记录下的信息输出成格式为pdf的报告及提供修复邮箱的解决方案。