本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域的一種電子郵件正文威脅行為的識(shí)別方法。

背景技術(shù)：

沒(méi)有附件的電子郵件不代表是一封安全的電子郵件，所以對(duì)正文進(jìn)行威脅行為識(shí)別尤為必要，可以更好的預(yù)防未知攻擊。

傳統(tǒng)的電子郵件安全檢測(cè)僅以電子郵件中的附件為對(duì)象進(jìn)行安全檢測(cè)，而忽略了正文部分的安全檢測(cè)，同時(shí)，檢測(cè)機(jī)制基本以靜態(tài)特征檢測(cè)為主，而靜態(tài)特征的檢測(cè)無(wú)法識(shí)別未知類型的攻擊。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的是為了克服現(xiàn)有技術(shù)的不足，提供一種電子郵件正文威脅行為的識(shí)別方法，通過(guò)共性描述威脅行為的本質(zhì)特征，檢測(cè)電子郵件的正文的威脅行為，脫離了基于靜態(tài)特征檢測(cè)的傳統(tǒng)方法，能夠檢測(cè)到電子郵件的正文中更多的威脅行為。

實(shí)現(xiàn)上述目的的一種技術(shù)方案是：一種電子郵件正文威脅行為的識(shí)別方法，包括下列步驟：

郵件收取步驟：收取電子郵件；

協(xié)議包數(shù)據(jù)解析步驟：對(duì)該電子郵件的正文進(jìn)行協(xié)議包數(shù)據(jù)解析，從該電子郵件的正文中解析出至少一個(gè)數(shù)據(jù)區(qū)和至少一個(gè)代碼區(qū)；

代碼區(qū)行為三元組化步驟：將該電子郵件的正文的每個(gè)代碼區(qū)中的數(shù)據(jù)格式化為一個(gè)三元組；

威脅行為識(shí)別步驟：將每個(gè)所述三元組的序列與威脅行為模式庫(kù)中的威脅行為模式三元組的序列進(jìn)行比對(duì)；若發(fā)現(xiàn)其中任意一個(gè)所述三元組的序列與所述威脅行為模式庫(kù)中的任意一個(gè)威脅行為模式三元組的序列匹配，則判定該電子郵件的正文存在威脅行為。

進(jìn)一步的，所述電子郵件正文威脅行為的識(shí)別方法還包括從所述電子郵件的正文部分，分離出所述電子郵件的正文的header和所述電子郵件的正文的body的正文分離步驟；

協(xié)議包數(shù)據(jù)解析步驟：從所述電子郵件的正文的header解析出代碼[header]和數(shù)據(jù)[header]，從所述電子郵件的正文的body解析出代碼[body]和數(shù)據(jù)[body]；

代碼區(qū)行為三元組化步驟：將代碼[header]中的數(shù)據(jù)格式為代碼[header][三元組]，將代碼[body]中的數(shù)據(jù)格式化為代碼[body][三元組]；

威脅行為識(shí)別步驟：將代碼[header][三元組]的序列和代碼[body][三元組]的序列分別與威脅行為模式庫(kù)中的威脅行為模式三元組的序列進(jìn)行比對(duì)。

再進(jìn)一步的，正文分離步驟中，根據(jù)mime格式，從所述電子郵件的正文，分離出所述電子郵件的正文的header和所述電子郵件的正文的body。

再進(jìn)一步的，所述協(xié)議包數(shù)據(jù)解析步驟，對(duì)所述電子郵件的正文的header進(jìn)行協(xié)議包數(shù)據(jù)解析，將所述電子郵件的正文的header中的收件人、發(fā)件人解析為數(shù)據(jù)[header]，將所述電子郵件的正文的header中的其余信息解析為代碼[header]。

再進(jìn)一步的，所述協(xié)議包數(shù)據(jù)解析步驟，對(duì)所述電子郵件的正文的body進(jìn)行協(xié)議包數(shù)據(jù)解析，將所述電子郵件的正文的body中的圖像、聲音、動(dòng)畫(huà)解析為數(shù)據(jù)[body]；將所述電子郵件的正文的body中的其余信息解析為代碼[body]。

進(jìn)一步的，代碼區(qū)行為三元組化步驟所生成的三元組均為集合{數(shù)據(jù)集合、動(dòng)作集合、目標(biāo)集合}的子集。

進(jìn)一步的，所述數(shù)據(jù)集合為{cookie,content,localdata,exetypefile}；

所述動(dòng)作集合為{redirect,contain,get,post,put,trace}；

所述目標(biāo)集合為{distrustnodomainhost}。

進(jìn)一步的，郵件收取步驟利用pop3、imap協(xié)議收取電子郵件。

采用了本發(fā)明的一種電子郵件正文威脅行為的識(shí)別方法的技術(shù)方案，包括下列步驟：郵件收取步驟：收取電子郵件；協(xié)議包數(shù)據(jù)解析步驟：對(duì)該電子郵件的正文進(jìn)行協(xié)議包數(shù)據(jù)解析，從該電子郵件的正文中解析出至少一個(gè)數(shù)據(jù)區(qū)和至少一個(gè)代碼區(qū)；代碼區(qū)行為三元組化步驟：將該電子郵件的正文的每個(gè)代碼區(qū)中的數(shù)據(jù)格式化為一個(gè)三元組；威脅行為識(shí)別步驟：將每個(gè)所述三元組的序列與威脅行為模式庫(kù)中的威脅行為模式三元組的序列進(jìn)行比對(duì)；若發(fā)現(xiàn)其中任意一個(gè)所述三元組的序列與所述威脅行為模式庫(kù)中的任意一個(gè)威脅行為模式三元組的序列匹配，則判定該電子郵件的正文存在威脅行為。其技術(shù)效果是:通過(guò)對(duì)電子郵件的正文進(jìn)行深度的威脅行為識(shí)別，確保用戶電子郵件信息的隱私安全。

附圖說(shuō)明

圖1為本發(fā)明的一種電子郵件正文威脅行為的識(shí)別方法的流程圖。

圖2為采用本發(fā)明的一種電子郵件正文威脅行為的識(shí)別方法的郵件識(shí)別系統(tǒng)的示意圖。

具體實(shí)施方式

請(qǐng)參閱圖1和圖2，本發(fā)明的發(fā)明人為了能更好地對(duì)本發(fā)明的技術(shù)方案進(jìn)行理解，下面通過(guò)具體地實(shí)施例，并結(jié)合附圖進(jìn)行詳細(xì)地說(shuō)明：

本發(fā)明的一種電子郵件正文威脅行為識(shí)別的方法，包括下列步驟：

郵件收取步驟：利用pop3、imap協(xié)議收取電子郵件。

正文分離步驟：采用mine格式，從所述電子郵件的正文，分離出所述電子郵件的正文的header和所述電子郵件的正文的body。

協(xié)議包數(shù)據(jù)解析步驟：從所述電子郵件的正文的header解析出代碼[header]和數(shù)據(jù)[header]，從所述電子郵件的正文的body解析出代碼[body]和數(shù)據(jù)[body]。

代碼[header]為所述電子郵件的正文的header的代碼區(qū)，數(shù)據(jù)[header]為所述電子郵件的正文的header的數(shù)據(jù)區(qū)。代碼[body]為所述電子郵件的正文的body的代碼區(qū)，數(shù)據(jù)[body]為所述電子郵件的正文的body的數(shù)據(jù)區(qū)。

協(xié)議包數(shù)據(jù)解析步驟中對(duì)所述電子郵件的正文進(jìn)行協(xié)議包數(shù)據(jù)解析，即進(jìn)行數(shù)據(jù)和代碼的語(yǔ)義識(shí)別，從所述電子郵件的正文中解析出兩個(gè)數(shù)據(jù)區(qū)和兩個(gè)代碼區(qū)；

對(duì)所述電子郵件的正文的header進(jìn)行數(shù)據(jù)和代碼的語(yǔ)義識(shí)別時(shí)，將所述電子郵件的正文的header中的收件人、發(fā)件人解析為數(shù)據(jù)[header]，將所述電子郵件的正文的header中的其余信息解析為代碼[header]。

對(duì)所述電子郵件的正文的body進(jìn)行數(shù)據(jù)和代碼的語(yǔ)義識(shí)別，將所述電子郵件的正文的body中的圖像、聲音、動(dòng)畫(huà)解析為數(shù)據(jù)[body]；將所述電子郵件的正文的body中的其余數(shù)據(jù)解析為代碼[body]。

代碼區(qū)行為三元組化步驟：將該電子郵件的正文的每個(gè)代碼區(qū)中的數(shù)據(jù)格式化為一個(gè)三元組；

即將代碼[header]格式為代碼[header][三元組]，將代碼[body]格式化為代碼[body][三元組]。

代碼[header][三元組]和代碼[body][三元組]均為集合{數(shù)據(jù)集合、動(dòng)作集合、目標(biāo)集合}的子集。

數(shù)據(jù)集合包括的元素為{cookie,content,localdata,exetypefile}；

動(dòng)作集合包括的元素為{redirect,contain,get,post,put,trace}；

所述目標(biāo)集合包括的元素為{distrustnodomainhost}。

威脅行為識(shí)別步驟：將每個(gè)所述三元組的序列與威脅行為模式庫(kù)中的威脅行為模式三元組的序列進(jìn)行比對(duì)；若發(fā)現(xiàn)其中任意一個(gè)所述三元組的序列與所述威脅行為模式庫(kù)中的任意一個(gè)威脅行為模式三元組的序列匹配，則判定該電子郵件的正文存在威脅行為。

也就是說(shuō)，將代碼[header][三元組]的序列以及代碼[body][三元組]的序列與威脅行為模式庫(kù)中的威脅行為模式三元組的序列進(jìn)行比對(duì)，若發(fā)現(xiàn)其中任意一個(gè)所述三元組的序列與所述威脅行為模式庫(kù)中的任意一個(gè)威脅行為模式三元組的序列匹配，則判定該電子郵件的正文存在威脅行為。

比如序列為{cookie、post、distrusthost}威脅行為模式三元組描述試圖將用戶電子郵件認(rèn)證信息以post方式發(fā)送至不信任域的行為，若代碼[header][三元組]的序列或代碼[body][三元組]的序列與之匹配，則判定該電子郵件的正文存在威脅行為。

本發(fā)明的一種電子郵件正文威脅行為識(shí)別的方法描述了一種以電子郵件的威脅行為作為識(shí)別對(duì)象的方法，其首先對(duì)電子郵件正文部分進(jìn)行協(xié)議包數(shù)據(jù)解析后，分為數(shù)據(jù)區(qū)和代碼區(qū)，接著對(duì)代碼區(qū)中的數(shù)據(jù)進(jìn)行行為三元組化，將行為三元組化所得到的三元組，與威脅行為模式庫(kù)中的威脅行為模式三元組，進(jìn)行序列比對(duì)，識(shí)別出電子郵件的正文的威脅行為，從而實(shí)現(xiàn)了電子郵件隱私信息的保護(hù)。通過(guò)對(duì)電子郵件的正文進(jìn)行深度的威脅識(shí)別，確保用戶電子郵件信息的隱私安全。由于進(jìn)行了對(duì)電子郵件的正文的安全威脅防護(hù)，擴(kuò)大電子郵件的安全檢測(cè)范圍。

威脅行為模式庫(kù)是所有威脅行為的全集，將電子郵件的正文的代碼區(qū)行為三元組化后的三元組的序列與威脅行為模式庫(kù)中威脅行為三元組的序列進(jìn)行比對(duì)，描述威脅行為的本質(zhì)特征，脫離了基于靜態(tài)特征檢測(cè)的傳統(tǒng)方法，能夠檢測(cè)到更多的威脅行為，集中挖掘了電子郵件的正文的威脅性。

本技術(shù)領(lǐng)域中的普通技術(shù)人員應(yīng)當(dāng)認(rèn)識(shí)到，以上的實(shí)施例僅是用來(lái)說(shuō)明本發(fā)明，而并非用作為對(duì)本發(fā)明的限定，只要在本發(fā)明的實(shí)質(zhì)精神范圍內(nèi)，對(duì)以上所述實(shí)施例的變化、變型都將落在本發(fā)明的權(quán)利要求書(shū)范圍內(nèi)。