[发明专利]一种邮件附件威胁检测方法及系统

说明书

本申请实施例提供一种邮件附件威胁检测方法及系统，涉及网络安全技术领域，该邮件附件威胁检测方法包括：流量分析模块先获取客户端与服务端之间的邮件数据，再对邮件数据进行解析，得到附件相关信息，然后将附件相关信息发送至威胁检测模块；接着，威胁检测模块再根据附件相关信息对邮件附件进行威胁检测，得到检测结果，以及根据检测结果生成检测日志，能够实现流量处理和威胁检测的异步处理，减小了流量处理的延时，从而能够快速的继续处理后续流量，进而提升威胁检测效率。

技术领域

本申请涉及通信安全技术领域，具体而言，涉及一种邮件附件威胁检测方法及系统。

背景技术

在人们的日常工作中邮件是大家沟通必不可少的，正因为如此，邮件承载的攻击也非常多。通过邮件可以传递恶意的信息，诱导用户进行一些操作；也可以传递恶意的网络链接，获取用户名密码等；还有一种就是传递恶意程序，通常这类是以附件形式存在的。现有的邮件附件威胁检测方法，通常在收到邮件流量时，提取出邮件附件，然后把邮件附件送入杀毒引擎，如发现为恶意软件则进行告警。然而在实践中发现，在解析出附件后，继续在原流程中处理，加大了流量处理的延时，无法快速的继续处理后续流量，从而降低了威胁检测效率。

发明内容

本申请实施例的目的在于提供一种邮件附件威胁检测方法及系统，能够实现流量处理和威胁检测的异步处理，减小了流量处理的延时，从而能够快速的继续处理后续流量，进而提升威胁检测效率。

本申请实施例第一方面提供了一种邮件附件威胁检测方法，应用于邮件附件威胁检测系统，所述邮件附件威胁检测系统包括流量分析模块和威胁检测模块，所述邮件附件威胁检测方法包括：

所述流量分析模块获取客户端与服务端之间的邮件数据；

所述流量分析模块对所述邮件数据进行解析，得到附件相关信息；

所述流量分析模块将所述附件相关信息发送至所述威胁检测模块；

所述威胁检测模块根据所述附件相关信息对所述邮件附件进行威胁检测，得到检测结果；

所述威胁检测模块根据所述检测结果生成检测日志。

在上述实现过程中，流量分析模块先获取客户端与服务端之间的邮件数据，再对邮件数据进行解析，得到附件相关信息，然后将附件相关信息发送至威胁检测模块；接着，威胁检测模块再根据附件相关信息对邮件附件进行威胁检测，得到检测结果，以及根据检测结果生成检测日志，能够实现流量处理和威胁检测的异步处理，减小了流量处理的延时，从而能够快速的继续处理后续流量，进而提升威胁检测效率。

进一步地，所述流量分析模块获取客户端与服务端之间的邮件数据，包括：

所述流量分析模块获取客户端与服务端之间的通信流量；

所述流量分析模块对所述通信流量进行邮件协议识别，得到邮件数据。

在上述实现过程中，流量分析模块能够独立进行流量获取以及邮件协议识别。

进一步地，所述流量分析模块对所述邮件数据进行解析，得到附件相关信息，包括：

所述流量分析模块在检测出所述邮件数据中存在邮件附件时，提取所述邮件附件；

所述流量分析模块存储所述邮件附件；

所述流量分析模块获取所述通信流量的流信息以及所述邮件附件的相关信息；

所述流量分析模块根据所述通信流量的流信息以及所述邮件附件的相关信息，生成附件相关信息。

进一步地，所述威胁检测模块根据所述附件相关信息对所述邮件附件进行威胁检测，得到检测结果，包括：

所述威胁检测模块根据所述附件相关信息获取所述邮件附件；

所述威胁检测模块调用多个预设检测引擎分别对所述邮件附件进行威胁检测，得到检测结果。

进一步地，所述多个预设检测引擎包括预设威胁检测算法引擎、预设本地沙箱检测引擎以及预设云检测引擎中的一种或者多种。