(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111558695.1 (22)申请日 2021.12.20 (71)申请人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 关营　赵林林　童兆丰　薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. H04L 9/40(2022.01) H04L 51/42(2022.01) (54)发明名称 一种邮件附件威胁 检测方法及系统 (57)摘要 本申请实施例提供一种邮件附件威胁检测 方法及系统， 涉及网络安全技术领域， 该邮件附 件威胁检测方法包括： 流量分析模块先获取客户 端与服务端之间的邮件数据， 再对邮件数据进行 解析， 得到附件相关信息， 然后将附件相关信息 发送至威胁检测模块； 接着， 威胁检测模块再根 据附件相关信息对邮件附件进行威胁检测， 得到 检测结果， 以及根据检测结果生成检测日志， 能 够实现流量处理和威胁检测的异步处理， 减小了 流量处理的延时， 从而能够快速的继续处理后续 流量， 进而提升威胁 检测效率。 权利要求书2页 说明书7页 附图3页 CN 113949588 A 2022.01.18 CN 113949588 A 1.一种邮件附件威胁检测方法， 其特征在于， 应用于邮件附件威胁检测系统， 所述邮件 附件威胁 检测系统包括 流量分析模块和威胁 检测模块， 所述邮件附件威胁 检测方法包括： 所述流量分析模块获取客户端与服 务端之间的邮件数据； 所述流量分析模块对所述邮件数据进行解析， 得到附件相关信息； 所述流量分析模块将所述附件相关信息发送至所述 威胁检测模块； 所述威胁检测模块根据 所述附件相关信 息对所述邮件附件进行威胁检测， 得到检测结 果； 所述威胁检测模块 根据所述检测结果 生成检测日志。 2.根据权利要求1所述的邮件附件威胁检测方法， 其特征在于， 所述流量分析模块获取 客户端与服 务端之间的邮件数据， 包括： 所述流量分析模块获取客户端与服 务端之间的通信流 量； 所述流量分析模块对所述 通信流量进行邮件协议识别， 得到邮件数据。 3.根据权利要求2所述的邮件附件威胁检测方法， 其特征在于， 所述流量分析模块对所 述邮件数据进行解析， 得到附件相关信息， 包括： 所述流量分析模块在检测出 所述邮件数据中存在邮件附件时， 提取 所述邮件附件； 所述流量分析模块存 储所述邮件附件； 所述流量分析模块获取 所述通信流量的流信息以及所述邮件附件的相关信息； 所述流量分析模块根据 所述通信流量的流信 息以及所述邮件附件的相关信 息， 生成附 件相关信息 。 4.根据权利要求2所述的邮件附件威胁检测方法， 其特征在于， 所述威胁检测模块根据 所述附件相关信息对所述邮件附件进行威胁 检测， 得到检测结果， 包括： 所述威胁检测模块 根据所述附件相关信息获取 所述邮件附件； 所述威胁检测模块调用多个预设检测引擎分别对所述邮件附件进行威胁检测， 得到检 测结果。 5.根据权利要求4所述的邮件附件威胁检测方法， 其特征在于， 所述多个预设检测引擎 包括预设威胁检测算法引擎、 预设本地沙箱检测引擎以及预设云检测引擎中的一种或者多 种。 6.根据权利要求4所述的邮件附件威胁检测方法， 其特征在于， 所述威胁检测模块根据 所述检测结果 生成检测日志， 包括： 所述威胁检测模块 根据所述检测结果判断所述邮件附件是否存在威胁； 所述威胁检测模块在判断出所述邮件附件存在威胁时， 根据所述附件相关信 息以及所 述检测结果 生成检测日志， 并将所述检测日志与所述 通信流量的流量日志进行关联。 7.一种邮件附件威胁检测系统， 其特征在于， 所述邮件附件威胁检测系统包括流量分 析模块和威胁 检测模块， 其中， 所述流量分析模块， 用于获取客户端与服务端之间的邮件数据； 以及对所述 邮件数据 进行解析， 得到附件相关信息； 以及将所述附件相关信息发送至所述 威胁检测模块； 所述威胁检测模块， 用于根据所述附件相关信息对所述 邮件附件进行威胁检测， 得到 检测结果； 以及根据所述检测结果 生成检测日志。 8.根据权利要求7所述的邮件附件威胁检测系统， 其特征在于， 所述流量分析模块， 具权　利　要　求　书 1/2 页 2 CN 113949588 A 2体用于获取客户端与服务端之间的通信流量， 并对所述通信流量进行邮件协议识别， 得到 邮件数据。 9.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使 所述电子 设备执行权利要求 1至6中 任一项所述的邮件附件威胁 检测方法。 10.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所 述计算机程序指 令被一处理器读取并运行时， 执行权利要求 1至6任一项 所述的邮件附件威 胁检测方法。权　利　要　求　书 2/2 页 3 CN 113949588 A 3