[发明专利]恶意攻击邮件分析方法、装置、设备及介质

权利要求书

1.一种恶意攻击邮件分析方法，其特征在于，包括：

获取恶意攻击邮件投诉；

对被投诉的所述恶意攻击邮件进行解析，从所述恶意攻击邮件中获取所述恶意攻击邮件的攻击源地址；

上报所述恶意攻击邮件的攻击源地址，以追溯攻击源。

2.根据权利要求1所述的方法，其特征在于，所述对被投诉的所述恶意攻击邮件进行数据解析，获取所述恶意攻击邮件的攻击源地址包括：

检索所述恶意攻击邮件的邮件主题、邮件正文和附件中的关键字；

将所述关键字与预设的IP解析前缀表匹配；

当所述关键字与所述IP解析前缀表中IP关键字匹配上时，在所述关键字前后截取预设长度的语句；

提取所述预设长度的语句中的IP地址，以所述IP地址为所述攻击源地址。

3.根据权利要求2所述的方法，其特征在于，当提取所述预设长度的语句中的IP地址失败或所述关键字与所述IP解析前缀表中IP关键字匹配失败时，还包括：

再次检索所述恶意攻击邮件的邮件主题、邮件正文和附件，以提取其中首个IP地址为所述攻击源地址；

若所述首个IP地址提取失败，给所述恶意攻击邮件作异常记录。

4.根据权利要求3所述的方法，其特征在于，还包括：

判定所述攻击源地址是否合法；

当所述IP地址不合法时，给所述恶意攻击邮件作异常记录。

5.根据权利要求3所述的方法，其特征在于，所述方法还包括：

判定所述攻击源地址的准确率；

当所述攻击源地址准确率为中、高时，记录所述攻击源地址；

当所述攻击源地址准确率为低或无法识别时，给所述恶意攻击邮件作异常记录。

6.根据权利要求5所述的方法，其特征在于，所述判定所述攻击源地址的准确率包括：

识别所述恶意攻击邮件的邮件主题、邮件正文和/或附件包括的敏感字符；

当所述关键字与所述IP解析前缀表中IP关键字匹配上，且识别出敏感字符时，判定所述攻击源地址准确率为高；

当所述关键字与所述IP解析前缀表中IP关键字匹配上，且未识别出敏感字符时，判定所述攻击源地址准确率为低；

当所述关键字与所述IP解析前缀表中IP关键字匹配失败，且识别出敏感字符时，判定所述攻击源地址准确率为中；

当所述关键字与所述IP解析前缀表中IP关键字匹配失败，且未识别出敏感字符时，判定无法识别。

7.根据权利要求1所述的方法，其特征在于，所述对被投诉的所述恶意攻击邮件进行数据解析，获取所述恶意攻击邮件的攻击源地址包括：

基于所述恶意攻击邮件的邮件主题、邮件正文和/或附件包括的关键字确定攻击类型；

将所述攻击类型与预设的精准数据库进行匹配；

当所述精准数据库中存在所述攻击类型时，基于所述精准数据库中对应的解析规则，在所述恶意攻击邮件的预定位置提取攻击源地址。

8.一种恶意攻击邮件分析装置，其特征在于，包括：

攻击有机获取模块，用于获取恶意攻击邮件投诉；

邮件解析模块，用于对被投诉的所述恶意攻击邮件进行数据解析，获取所述恶意攻击邮件的攻击源地址；

攻击源追溯模块，用于上报所述恶意攻击邮件的攻击源地址，以追溯攻击源。

9.一种电子设备，包括：存储器，处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时，实现权利要求1至7中的任一项所述恶意攻击邮件分析方法中的各个步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时，实现权利要求1至7中的任一项恶意攻击邮件分析方法中的各个步骤。