本发明公开了一种面向链接伪装的鱼叉攻击邮件发现方法及装置。本方法为：1)从待处理的邮件协议数据中获取待检测邮件的邮件元数据和附件信息；2)从所述待检测邮件的正文中提取所有的链接地址和链接内容；3)根据预设的检测规则以及所配置的云附件特征库对提取信息进行检测，判定对应邮件是否为可疑恶意邮件；4)对判定为可疑恶意邮件的附件名称、邮件主题进行语言识别和主题识别，判断所述可疑恶意邮件是否具有定向性；若具有定向性，则判定对应邮件为鱼叉攻击邮件。本发明不基于信任源的行为分析，也不依赖多维度通信特征的统计分析，而是根据原始网络流量或者从原始网络流量中还原出的邮件元数据及时发现鱼叉攻击邮件。