一种电子邮件正文威胁行为的识别方法技术

本发明专利技术公开了网络安全领域的一种电子邮件正文威胁行为的识别方法，包括下列步骤：邮件收取步骤：收取电子邮件；协议包数据解析步骤：对该电子邮件的正文进行协议包数据解析，从该电子邮件的正文中解析出至少一个数据区和至少一个代码区；代码区行为三元组化步骤：将该电子邮件的正文的每个代码区中的数据格式化为一个三元组；威胁行为识别步骤：将每个所述三元组的序列与威胁行为模式库中的威胁行为模式三元组的序列进行比对；若发现其中任意一个所述三元组的序列与所述威胁行为模式库中的任意一个威胁行为模式三元组的序列匹配，则判定该电子邮件的正文存在威胁行为。其技术效果是:通过对电子邮件的正文进行深度的威胁行为识别，确保用户电子邮件信息的隐私安全。

Method for identifying e-mail text threat behavior

The invention discloses a method for identification of network security field an e-mail messages threatening behavior, which comprises the following steps: receive mail steps: E-mail protocol; packet parsing steps: packet data analysis on the body of the e-mail, from the text of the electronic mail in at least one data area and at least one area code; code of steps: the behavior of three tuple format each code area of the body of the e-mail in the data for a three tuple; threat behavior recognition steps: the sequence of each of the three tuple sequence and threat behavior pattern base of threat behavior patterns three tuple comparison; if you find them the sequence of any one of the three elements and the threat of arbitrary behavior pattern in the library a threat behavior three tuple matching is determined The text of this e-mail has a threat behavior. The technical effect of the invention is to identify the user's e-mail information in depth by recognizing the depth of the e-mail text, and ensuring the privacy and safety of the user's e-mail information.

【技术实现步骤摘要】
一种电子邮件正文威胁行为的识别方法
本专利技术涉及网络安全领域的一种电子邮件正文威胁行为的识别方法。
技术介绍
没有附件的电子邮件不代表是一封安全的电子邮件，所以对正文进行威胁行为识别尤为必要，可以更好的预防未知攻击。传统的电子邮件安全检测仅以电子邮件中的附件为对象进行安全检测，而忽略了正文部分的安全检测，同时，检测机制基本以静态特征检测为主，而静态特征的检测无法识别未知类型的攻击。
技术实现思路
本专利技术的目的是为了克服现有技术的不足，提供一种电子邮件正文威胁行为的识别方法，通过共性描述威胁行为的本质特征，检测电子邮件的正文的威胁行为，脱离了基于静态特征检测的传统方法，能够检测到电子邮件的正文中更多的威胁行为。实现上述目的的一种技术方案是：一种电子邮件正文威胁行为的识别方法，包括下列步骤：邮件收取步骤：收取电子邮件；协议包数据解析步骤：对该电子邮件的正文进行协议包数据解析，从该电子邮件的正文中解析出至少一个数据区和至少一个代码区；代码区行为三元组化步骤：将该电子邮件的正文的每个代码区中的数据格式化为一个三元组；威胁行为识别步骤：将每个所述三元组的序列与威胁行为模式库中的威胁行为模式三本文档来自技高网...

【技术保护点】
一种电子邮件正文威胁行为的识别方法，包括下列步骤：邮件收取步骤：收取电子邮件；协议包数据解析步骤：对该电子邮件的正文进行协议包数据解析，从该电子邮件的正文中解析出至少一个数据区和至少一个代码区；代码区行为三元组化步骤：将该电子邮件的正文的每个代码区中的数据格式化为一个三元组；威胁行为识别步骤：将每个所述三元组的序列与威胁行为模式库中的威胁行为模式三元组的序列进行比对；若发现其中任意一个所述三元组的序列与所述威胁行为模式库中的任意一个威胁行为模式三元组的序列匹配，则判定该电子邮件的正文存在威胁行为。

【技术特征摘要】
1.一种电子邮件正文威胁行为的识别方法，包括下列步骤：邮件收取步骤：收取电子邮件；协议包数据解析步骤：对该电子邮件的正文进行协议包数据解析，从该电子邮件的正文中解析出至少一个数据区和至少一个代码区；代码区行为三元组化步骤：将该电子邮件的正文的每个代码区中的数据格式化为一个三元组；威胁行为识别步骤：将每个所述三元组的序列与威胁行为模式库中的威胁行为模式三元组的序列进行比对；若发现其中任意一个所述三元组的序列与所述威胁行为模式库中的任意一个威胁行为模式三元组的序列匹配，则判定该电子邮件的正文存在威胁行为。2.根据权利要求1所述的一种电子邮件正文威胁行为的识别方法，其特征在于：其还包括从所述电子邮件的正文部分，分离出所述电子邮件的正文的header和所述电子邮件的正文的body的正文分离步骤；协议包数据解析步骤：从所述电子邮件的正文的header解析出代码[header]和数据[header]，从所述电子邮件的正文的body解析出代码[body]和数据[body]；代码区行为三元组化步骤：将代码[header]中的数据格式为代码[header][三元组]，将代码[body]中的数据格式化为代码[body][三元组]；威胁行为识别步骤：将代码[header][三元组]的序列和代码[body][三元组]的序列分别与威胁行为模式库中的威胁行为模式三元组的序列进行比对。3.根据权利要求2所述的一种电子邮件正文威胁行为的识别方法，其特征在于：正文分离步骤中，根据MIME格式...

【专利技术属性】
技术研发人员：刘岩，蔡斌，钟鸣，顾晓鸣，曹芸，陈侃黎，钱巍斌，周伟，冯天兵，汪传毅，何正宇，唐海强，金浩纯，石英超，杨波，
申请(专利权)人：国网上海市电力公司，
类型：发明
国别省市：上海,31