[发明专利]一种邮件附件威胁检测方法及系统

权利要求书

1.一种邮件附件威胁检测方法，其特征在于，应用于邮件附件威胁检测系统，所述邮件附件威胁检测系统包括流量分析模块和威胁检测模块，所述邮件附件威胁检测方法包括：

所述流量分析模块获取客户端与服务端之间的邮件数据；

所述流量分析模块对所述邮件数据进行解析，得到附件相关信息；

所述流量分析模块将所述附件相关信息发送至所述威胁检测模块；

所述威胁检测模块根据所述附件相关信息对所述邮件附件进行威胁检测，得到检测结果；

所述威胁检测模块根据所述检测结果生成检测日志。

2.根据权利要求1所述的邮件附件威胁检测方法，其特征在于，所述流量分析模块获取客户端与服务端之间的邮件数据，包括：

所述流量分析模块获取客户端与服务端之间的通信流量；

所述流量分析模块对所述通信流量进行邮件协议识别，得到邮件数据。

3.根据权利要求2所述的邮件附件威胁检测方法，其特征在于，所述流量分析模块对所述邮件数据进行解析，得到附件相关信息，包括：

所述流量分析模块在检测出所述邮件数据中存在邮件附件时，提取所述邮件附件；

所述流量分析模块存储所述邮件附件；

所述流量分析模块获取所述通信流量的流信息以及所述邮件附件的相关信息；

所述流量分析模块根据所述通信流量的流信息以及所述邮件附件的相关信息，生成附件相关信息。

4.根据权利要求2所述的邮件附件威胁检测方法，其特征在于，所述威胁检测模块根据所述附件相关信息对所述邮件附件进行威胁检测，得到检测结果，包括：

所述威胁检测模块根据所述附件相关信息获取所述邮件附件；

所述威胁检测模块调用多个预设检测引擎分别对所述邮件附件进行威胁检测，得到检测结果。

5.根据权利要求4所述的邮件附件威胁检测方法，其特征在于，所述多个预设检测引擎包括预设威胁检测算法引擎、预设本地沙箱检测引擎以及预设云检测引擎中的一种或者多种。

6.根据权利要求4所述的邮件附件威胁检测方法，其特征在于，所述威胁检测模块根据所述检测结果生成检测日志，包括：

所述威胁检测模块根据所述检测结果判断所述邮件附件是否存在威胁；

所述威胁检测模块在判断出所述邮件附件存在威胁时，根据所述附件相关信息以及所述检测结果生成检测日志，并将所述检测日志与所述通信流量的流量日志进行关联。

7.一种邮件附件威胁检测系统，其特征在于，所述邮件附件威胁检测系统包括流量分析模块和威胁检测模块，其中，

所述流量分析模块，用于获取客户端与服务端之间的邮件数据；以及对所述邮件数据进行解析，得到附件相关信息；以及将所述附件相关信息发送至所述威胁检测模块；

所述威胁检测模块，用于根据所述附件相关信息对所述邮件附件进行威胁检测，得到检测结果；以及根据所述检测结果生成检测日志。

8.根据权利要求7所述的邮件附件威胁检测系统，其特征在于，所述流量分析模块，具体用于获取客户端与服务端之间的通信流量，并对所述通信流量进行邮件协议识别，得到邮件数据。

9.一种电子设备，其特征在于，所述电子设备包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至6中任一项所述的邮件附件威胁检测方法。

10.一种可读存储介质，其特征在于，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行权利要求1至6任一项所述的邮件附件威胁检测方法。