(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111367555.6 (22)申请日 2021.11.18 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 高志　袁表仙　惠红刚　张彩霞　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 蒋姗 (51)Int.Cl. H04L 9/40(2022.01) H04L 51/23(2022.01) H04L 9/32(2006.01) (54)发明名称 邮箱服务不可用的处理方法、 装置、 电子设 备及存储介质 (57)摘要 本申请提供一种邮箱服务不可用的处理方 法、 装置、 电子设备及存储介质。 方法包括： 若监 测到邮箱服务不可用， 则获取预先设定的安全编 排和自动化响应SOAR剧本； 基于 所述SOAR剧本采 集不可用邮箱服务对应的日志信息； 基于所述 SOAR剧本， 根据所述日志信息进行日志关联分 析、 威胁情报分析、 病毒分析和行为分析， 基于分 析结果生 成告警信息， 所述告警信息包括告警类 别； 基于所述SOAR剧本， 根据所述告警类别获取 对应的响应处置方案， 并基于所述响应处置方案 对所述不可用邮箱服务进行修复。 本申请实施例 基于SOAR剧本处理邮箱服务不可用的情况， 其流 程自动化， 不需要人工操作， 从而提高了对邮箱 服务处理的效率。 权利要求书2页 说明书9页 附图2页 CN 114050937 A 2022.02.15 CN 114050937 A 1.一种邮箱服 务不可用的处 理方法， 其特 征在于， 包括： 若监测到邮箱服 务不可用， 则获取 预先设定的安全编排和自动化响应SOAR剧本； 基于所述SOAR剧本采集 不可用邮箱服 务对应的日志信息； 基于所述SOAR剧本， 根据所述日志信息进行日志关联分析、 威胁情报分析、 病毒分析和 行为分析， 基于分析 结果生成告警信息， 所述告警信息包括告警类别； 基于所述SOAR剧本， 根据所述告警类别获取对应的响应处置方案， 并基于所述响应处 置方案对所述 不可用邮箱服 务进行修复。 2.根据权利要求1所述的方法， 其特征在于， 所述日志信息包括日志数据和附件文本； 在采集不可用邮箱服 务对应的日志信息之后， 所述方法还 包括： 对所述日志数据和附件文本进行富 化， 获得富 化日志信息； 所述根据所述日志信息进行日志关联分析、 威胁情报分析、 病毒分析和行为分析， 包 括： 所述根据所述 富化日志信息进行日志关联分析、 威胁情 报分析、 病毒分析和行为分析。 3.根据权利要求2所述的方法， 其特征在于， 所述日志数据包括IP地址； 所述对所述日 志数据进行富 化， 包括： 根据所述 IP地址获取对应的地址位置信息、 内网标识和外网标识； 根据所述附件文本计算获得对应的MD5值和风险值； 其中， 所述富化日志信息包括所述 地址位置信息、 所述内网标识、 所述外网标识、 所述MD5值和所述 风险值。 4.根据权利要求1所述的方法， 其特征在于， 所述根据所述日志信息进行日志关联分 析、 威胁情 报分析、 病毒分析和行为分析， 包括： 根据所述日志信 息统计同一IP地址对所述不可用邮箱服务的访问次数， 根据所述访问 次数识别暴力破解行为， 关联所述日志信息中的登录日志， 获得所述暴力破解行为是否成 功的关联 结果； 利用威胁情报库对所述日志信息中的IP地址、 URL、 域名和附件文本进行匹配， 获得情 报分析结果； 利用病毒库对所述日志信息进行匹配， 获得病毒分析 结果； 利用所述日志信息对用户行为分析， 获得 行为分析 结果。 5.根据权利要求 4所述的方法， 其特 征在于， 所述基于分析 结果生成告警信息， 包括： 根据所述关联结果、 所述情报分析结果、 所述病毒分析结果和所述行为分析结果生成 所述告警信息； 所述告警信息还 包括告警级别、 恶意 地址和病毒 文件。 6.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 从所述日志信息中提取攻击流 量数据和恶意特 征码， 并进行存 储。 7.根据权利要求1 ‑6任一项所述的方法， 其特 征在于， 所述方法还 包括： 对所述邮箱服 务的服务进程和端口状态进行监控； 若所述服务进程异常和/或所述端口状态为关闭状态， 则确定所述邮箱服 务不可用。 8.一种邮箱服 务不可用的处 理装置， 其特 征在于， 包括： 剧本获取模块， 用于若监测到邮箱服务不可用， 则获取预先设定的安全编排和自动化 响应SOAR剧本； 业务探针模块， 用于基于所述SOAR剧本采集 不可用邮箱服 务对应的日志信息；权　利　要　求　书 1/2 页 2 CN 114050937 A 2智能分析模块， 用于基于所述SOA R剧本， 根据所述日志信息进行日志关联分析、 威胁情 报分析、 病毒分析和行为分析， 基于分析 结果生成告警信息， 所述告警信息包括告警类别； 联动处置防护模块， 用于基于所述SOAR剧本， 根据所述告警类别获取对应的响应处置 方案， 并基于所述响应处置方案对所述 不可用邮箱服 务进行修复。 9.一种电子设备， 其特 征在于， 包括： 处 理器、 存储器和总线， 其中， 所述处理器和所述存 储器通过 所述总线完成相互间的通信； 所述存储器存储有可被所述处理器执行的程序指令， 所述处理器调用所述程序指令能 够执行如权利要求1 ‑7任一项所述的方法。 10.一种非暂态计算机可读存储介质， 其特征在于， 所述非暂态计算机可读存储介质存 储计算机指 令， 所述计算机指 令被计算机运行时， 使 所述计算机执行如权利要求 1‑7任一项 所述的方法。权　利　要　求　书 2/2 页 3 CN 114050937 A 3