(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111494828.3 (22)申请日 2021.12.08 (71)申请人 赛尔网络有限公司 地址 100084 北京市海淀区中关村东路1号 院清华科技园8号楼B座 赛尔大厦 (72)发明人 黄友俊　李星　吴建平　白浩　 (74)专利代理 机构 中科专利商标代理有限责任 公司 11021 代理人 王文思 (51)Int.Cl. H04L 9/40(2022.01) H04L 51/42(2022.01) H04L 69/22(2022.01) (54)发明名称 恶意攻击邮件分析方法、 装置、 设备及 介质 (57)摘要 本公开提供了一种恶意攻击邮件分析方法， 包括： 获取恶意攻击 邮件投诉； 对被投诉的恶意 攻击邮件进行数据解析， 获取恶意攻击邮件的攻 击源地址； 上报恶意攻击 邮件的攻击源地址， 以 追溯攻击源。 本公开还提供了相应的恶意攻击邮 件分析装置、 电子设备和计算机可读存储介质。 具体的， 该方法包括模糊解析和精确解析两种解 析方式， 可以快速准确的识别攻击源地址， 以进 行邮件攻击源 追溯。 权利要求书2页 说明书7页 附图5页 CN 114143112 A 2022.03.04 CN 114143112 A 1.一种恶意 攻击邮件分析 方法， 其特 征在于， 包括： 获取恶意 攻击邮件投诉； 对被投诉的所述恶意攻击邮件进行解析， 从所述恶意攻击邮件中获取所述恶意攻击邮 件的攻击源地址； 上报所述恶意 攻击邮件的攻击源地址， 以追溯攻击源。 2.根据权利要求1所述的方法， 其特征在于， 所述对被投诉的所述恶意攻击邮件进行数 据解析， 获取 所述恶意 攻击邮件的攻击源地址包括： 检索所述恶意 攻击邮件的邮件主题、 邮件正文和附件中的关键 字； 将所述关键 字与预设的IP解析 前缀表匹配； 当所述关键字与所述IP解析前缀表中IP关键字匹配上时， 在所述关键字前后截取预设 长度的语句； 提取所述预设长度的语句中的IP地址， 以所述 IP地址为所述 攻击源地址 。 3.根据权利要求2所述的方法， 其特征在于， 当提取所述预设长度的语句中的IP地址失 败或所述关键 字与所述 IP解析前缀表中IP关键 字匹配失败时， 还 包括： 再次检索所述恶意攻击邮件的邮件主题、 邮件正文和附件， 以提取其中首个IP地址为 所述攻击源地址； 若所述首个IP地址提取失败， 给 所述恶意 攻击邮件作异常记录 。 4.根据权利要求3所述的方法， 其特 征在于， 还 包括： 判定所述 攻击源地址是否合法； 当所述IP地址不 合法时， 给 所述恶意 攻击邮件作异常记录 。 5.根据权利要求3所述的方法， 其特 征在于， 所述方法还 包括： 判定所述 攻击源地址的准确率； 当所述攻击源地址准确率 为中、 高时， 记录所述 攻击源地址； 当所述攻击源地址准确率 为低或无法识别时， 给 所述恶意 攻击邮件作异常记录 。 6.根据权利要求5所述的方法， 其特 征在于， 所述判定所述 攻击源地址的准确率包括： 识别所述恶意 攻击邮件的邮件主题、 邮件正文和/或附件 包括的敏感字符； 当所述关键字与所述IP解析前缀表中IP关键字匹配上， 且识别出敏感字符时， 判定所 述攻击源地址准确率 为高； 当所述关键字与所述IP解析前缀表中IP关键字匹配上， 且未识别出敏感字符时， 判定 所述攻击源地址准确率 为低； 当所述关键字与所述IP解析前缀表中IP关键字匹配失败， 且识别出敏感字符时， 判定 所述攻击源地址准确率 为中； 当所述关键字与所述IP解析前缀表中IP关键字匹配失败， 且未识别出敏感字符时， 判 定无法识别。 7.根据权利要求1所述的方法， 其特征在于， 所述对被投诉的所述恶意攻击邮件进行数 据解析， 获取 所述恶意 攻击邮件的攻击源地址包括： 基于所述恶意 攻击邮件的邮件主题、 邮件正文和/或附件 包括的关键 字确定攻击类型； 将所述攻击类型与预设的精准数据库进行匹配； 当所述精准数据库中存在所述攻击类型时， 基于所述精准数据库中对应的解析规则，权　利　要　求　书 1/2 页 2 CN 114143112 A 2在所述恶意 攻击邮件的预定位置提取攻击源地址 。 8.一种恶意 攻击邮件分析装置， 其特 征在于， 包括： 攻击有机获取模块， 用于获取恶意 攻击邮件投诉； 邮件解析模块， 用于对被投诉的所述恶意攻击邮件进行数据解析， 获取所述恶意攻击 邮件的攻击源地址； 攻击源追溯模块， 用于上报所述恶意 攻击邮件的攻击源地址， 以追溯攻击源。 9.一种电子设备， 包括： 存储器， 处理器及存储在存储器上并可在处理器上运行的计算 机程序， 其特征在于， 所述处理器执行所述计算机程序时， 实现权利要求 1至7中的任一项 所 述恶意攻击邮件分析 方法中的各个步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时， 实现权利要求1至7中的任一项 恶意攻击邮件分析 方法中的各个步骤。权　利　要　求　书 2/2 页 3 CN 114143112 A 3