一种电子邮件检测的方法、装置、设备及可读存储介质与流程
本申请涉及互联网技术领域,具体涉及一种电子邮件检测的方法、装置、计算机设备及计算机可读存储介质。
背景技术:
随着互联网的快速发展,网络攻击也越来越多,网络攻击通常是黑客将带有攻击意图所编写的恶意程序传播到网络上,例如:植入到一些视频或者文件中,一旦用户点击了相应被植入恶意程序的视频或者文件,用户的终端就会被植入该恶意程序,从而导致该用户的终端中毒或者信息被窃取。
勒索软件是近年来增长迅速且危害巨大的网络安全威胁之一,是不法分子通过加密文件、锁屏等方式劫持用户文件等资产或资源,并以此敲诈用户钱财的一种恶意软件。勒索软件也就是勒索病毒,不法分子通过发送邮件等网络钓鱼方式,向受害电脑或服务器植入勒索病毒来加密硬盘上的文档甚至整个硬盘,随后向受害企业或者个人索要数额不等的赎金后才予以解密。
邮件是勒索病毒入侵的重灾区,不法分子通过诱导用户运行邮件附件触发勒索病毒加密用户本地机器上的文件,进而使用解密密码勒索赎金获取收益。这几年勒索病毒发展的非常快,而针对勒索病毒的杀毒软件的特征检测方法更新滞后,往往导致对计算机设备中文件被加密在前,杀毒软件具备查杀能力在后,这样计算机设备中的文件存在很高被勒索病毒侵害的风险。
技术实现要素:
本申请实施例提供一种电子邮件检测的方法,在电子邮件传输给邮件接收方之前提前做好勒索病毒检测,并拦截掉包含勒索病毒的电子邮件,从而降低了计算机设备被勒索病毒侵害的风险。本申请实施例还提供了相应的装置、计算机设备及计算机可读存储介质。
本申请第一方面提供一种电子邮件检测的方法,包括:
接收电子邮件;
检测出所述电子邮件中包含附件时,将所述附件传递到沙箱中,所述沙箱为运行中的程序提供隔离环境;
在所述沙箱中运行所述附件,并监测所述附件是否发生目标关注行为;
当监测到所述附件发生所述目标关注行为时,确定所述附件中包含勒索病毒,则拦截所述电子邮件,并输出报警提示信息。
本申请第二方面提供一种电子邮件检测的装置,包括:
接收程序模块,用于接收电子邮件;
检测程序模块,用于检测出所述接收程序模块接收的所述电子邮件中是否包含附件;
传递程序模块,用于在所述检测程序模块检测出所述电子邮件中包含附件时,将所述附件传递到沙箱中,所述沙箱为运行中的程序提供隔离环境;
程序运行模块,用于在所述沙箱中运行所述传递程序模块传递来的附件;
监测程序模块,用于在所述程序运行模块运行所述附件时,监测所述附件是否发生目标关注行为;
处理程序模块,用于当所述监测程序模块监测到所述附件发生所述目标关注行为时,确定所述附件中包含勒索病毒,则拦截所述电子邮件,并输出报警提示信息。
本申请第三方面提供一种计算机设备,包括:输入/输出(I/O)接口、处理器和存储器,所述存储器中存储有第一方面所述的勒索软件的处理的指令;
所述处理器用于执行存储器中存储的电子邮件检测的指令,执行如第一方面所述的电子邮件检测的方法的步骤。
本申请的又一方面提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第一方面所述的方法。
本申请的又一方面提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面所述的方法。
本申请实施例采用接收电子邮件;检测出所述电子邮件中包含附件时,将所述附件传递到沙箱中,所述沙箱为运行中的程序提供隔离环境;在所述沙箱中运行所述附件,并监测所述附件是否发生目标关注行为;当监测到所述附件发生所述目标关注行为时,确定所述附件中包含勒索病毒,则拦截所述电子邮件,并输出报警提示信息。与现有技术中用户的计算机设备经常因为运行电子邮件中的附件中病毒相比,本申请实施例提供的电子邮件检测的方法,在电子邮件传输给邮件接收方之前提前做好勒索病毒检测,并拦截掉包含勒索病毒的电子邮件,从而降低了计算机设备被勒索病毒侵害的风险,提高了计算机设备的安全性。
附图说明
图1是通过电子邮件的附件传播勒索病毒的界面示意图;
图2是被勒索病毒锁屏的一界面示意图;
图3是被勒索病毒加密的一界面示意图;
图4是本申请实施例中电子邮件的检测过程的一实施例示意图;
图5是本申请实施例中电子邮件检测的方法的一实施例示意图;
图6是本申请实施例中电子邮件检测的方法的另一实施例示意图;
图7是本申请实施例中电子邮件检测的装置的一实施例示意图;
图8是本申请实施例中计算机设备的一实施例示意图;
图9是本申请实施例中计算机设备的虚拟化形式的一实施例示意图。
具体实施方式
下面结合附图,对本申请的实施例进行描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。本领域普通技术人员可知,随着勒索病毒检测技术的发展,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块,本申请中所出现的模块的划分,仅仅是一种逻辑上的划分,实际应用中实现时可以有另外的划分方式,例如多个模块可以结合成或集成在另一个系统中,或一些特征可以忽略,或不执行,另外,所显示的或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,模块之间的间接耦合或通信连接可以是电性或其他类似的形式,本申请中均不作限定。并且,作为分离部件说明的模块或子模块可以是也可以不是物理上的分离,可以是也可以不是物理模块,或者可以分布到多个电路模块中,可以根据实际的需要选择其中的部分或全部模块来实现本申请方案的目的。
本申请实施例提供一种电子邮件检测的方法,在电子邮件传输给邮件接收方之前提前做好勒索病毒检测,并拦截掉包含勒索病毒的电子邮件,从而降低了计算机设备被勒索病毒侵害的风险。本申请实施例还提供了相应的装置和设备。以下分别进行详细说明。
在计算机安全领域,沙盒(英语:sandbox,又译为沙箱)是一种安全机制,为运行中的程序提供的隔离环境。通常是作为一些来源不可信、具破坏力或无法判定程序意图的程序提供实验之用。沙盒中的所有改动对操作系统不会造成任何损失。因此,沙箱可以用于测试可能带病毒的程序或是其他的恶意代码。
本申请实施例提供的电子邮件检测的方法可以应用于网络中任一可能被勒索软件侵害的计算机设备,该计算机设备通常为网络中的服务器,但也可以是终端,若是终端可以是个人计算机(PC,personal computer)、手机、电话手表、笔记本电脑、平板电脑以及其他联网的终端设备。若是终端实现本申请实施例中的电子邮件检测的方法,可以是检测出病毒后直接丢弃该电子邮件,不在用户的电子邮箱中呈现该电子邮件。
勒索软件也可以称为勒索病毒,被勒索病毒侵害的计算机设备可能会被锁屏或者文件被加密,需要付费才能解密,电子邮件是勒索病毒传播的一种很常用方式,如图1为通过电子邮件的附件传播勒索病毒的界面示意图。如果图1所示的附件一旦被运行,就会出现图2或图3所示的界面。
如图2为被勒索病毒锁屏的界面示意图,图3为被勒索病毒加密的界面示意图。
如图2所示,若被勒索病毒锁屏,则在锁屏界面上会收到例如图2所示的界面通知,通知使用该手机的用户去联系发布勒索病毒的黑客,通常向黑客付款后,黑客会给手机解锁。
如图3所示,若电脑上的文件被勒索病毒加密后,则在电脑的界面上也会收到如图3所示的界面通知,通知用户该电脑上的文件都被加密,若不在规定时间像发布病毒的黑客付费,则文件会损坏,还会提示剩余时间。
通过电子邮件传播勒索病毒有时会让用户防不胜防,有时黑客还会伪造邮箱通讯录中的联系人来传播病毒,所以较好的避免病毒的方法是能提前拦截掉有病毒的邮件。目前的邮件系统有一定的拦截功能,但目前的邮件系统中的拦截功能通常是常规的拦截,只能拦截掉目前已经分析出特征的病毒,针对一些新病毒,还是无法及时拦截。
本申请实施例提供一种电子邮件的检测过程,如图4所示,该检测过程中所涉及到的模块包括邮件发送方、常规检测拦截系统、附件存在性判断系统、沙箱和安全处理系统。
其中,常规检测拦截系统:具备常规特征码检测、恶意来源检测拦截等功能。
附件存在性判断系统:用于判断邮件是否存在附件。
沙箱(沙盒):用于判定是否存在文件操作行为或/和网络行为
安全处理系统:处理触发行为的安全报警
该检测过程包括:
S1、邮件发送方通过终端发送电子邮件。
电子邮件到达常规检测系统后,该常规检测系统会对该电子邮件进行常规检测,常规检测系统,会过滤拦截常规病毒和已有特征码的勒索病毒,部分大规模的新勒索病毒可通过阈值拦截,但无法拦截未达到阈值的部分。
S2、常规检测系统放行检测通过的电子邮件。
电子邮件到达附件存在性判断系统后,该附件存在性判断系统会判断该电子邮件中是否包含附件。
若不包含附件则将执行步骤S3,若包含附件则执行步骤S4。
S3、若不包含附件,则该附件存在性判断系统放行该电子邮件,该电子邮件被传递到邮件接收方的终端。
S4、若包含附件,则该附件存在性判断系统将该附件传递到沙箱。
沙箱会对该附件进行监测。
本申请实施例中的沙箱可以通过如下方式配置:
第一种方式可采用常规虚拟机(virtual machine,vm)、虚拟盒virtualbox等搭建windows沙箱。
第二种方式还可自行构建单一功能的类windows操作系统作为沙箱,可支持office程序启动,并支持文件行为和网络行为操作和记录,该中沙箱配置方法可最大化提升沙箱对勒索病毒行为的检测。
如图4中,沙箱中包括文件操作行为监控模块和网络行为监控模块。
文件操作行为监控模块可以通过如下几种方式监控文件行为:
1、通过windows日志,如sysmon的文件记录日志监控附件运行时的程序对文件的操作行为。
该操作行为可以包括打开、修改和加密等一系列操作行为。
2、文件过滤驱动程序记录程序触碰文件的行为。
文件过滤驱动程序也可以称为文件系统过滤驱动(FSFD,file system filter driver)。
文件系统过滤驱动:从应用上看,文件系统过滤驱动可以过滤一个或多个文件系统,或文件系统卷的I/O操作,按不同的种类划分,文件系统过滤驱动可以分为日志记录、系统监测、数据修改和事件预防几类,通常,以文件系统过滤驱动为核心的应用程序有文件加解密、病毒防护、进程控制、文件访问、事后审计和信息安全方面的应用。
文件过滤驱动程序会记录附件的程序运行时对文件的操作行为,该操作行为可以包括打开、修改和加密等一系列操作行为。
3、将所述附件的程序注入到用于监测的目标程序中,所述目标程序包括与操作文件关联的接口;通过监测所述附件的程序对所述接口的使用信息,监测所述附件的程序运行时对文件的操作行为。
网络行为包括所述附件运行时的程序操作文件后的数据传递行为,例如:密钥传输行为,通常勒索病毒对文件加密后都会产生相应的密钥,为了后续得到赎金时解密时使用该密钥,需要将该密钥发送回勒索病毒的控制端。
网络行为监控模可以通过如下几种方式监控网络行为:
1、通过windows日志,如sysmon的网络日志、系统本身的防火墙日志等即可监控网络行为是否发生。
2、在网络层抓取数据包,分析是否发生网络行为。
3、将附件的程序注入到用于监测的目标程序中,所述目标程序包括与网络操作关联的接口;通过监测所述附件的程序对所述接口的使用信息,监测所述附件的程序运行时的网络行为。
本申请实施例中对文件操作行为和网络行为的监控可以是择一选择监控,也可以同时监控,可以是监控到文件操作行为和网络行为中的一个就确定附件中包含勒索病毒,也可以是文件操作行为和网络行为两者都监控到才确定附件中包含勒索病毒。
本申请实施例中的目标关注行为包括文件操作行为和网络行为中的至少一个。
其中,文件操作行为指的是附件的程序运行时对文件的操作行为,所述操作行为包括加密行为。
还可以对文件操作行为设置条件,如当所述附件的程序对所述文件的操作频率超过频率阈值时,确定所述附件发生目标关注行为,以避免只监测到一次附件的程序运行时对文件的操作就认为其中包含勒索病毒,导致误报警。
网络行为包括所述附件运行时的程序操作文件后的数据传递行为;当所述附件的程序操作文件后发生数据传递行为,则确定所述附件发生目标关注行为。
S4、若沙盒确定附件的程序运行时没有上述目标关注行为,则放行该电子邮件,将该电子邮件传输到邮件接收方的终端。
S5、若沙盒确定附件的程序运行时发生了上述目标关注行为,则向安全处理系统发出告警提示信息。
安全处理系统的安全人员会根据该告警提示信息进行告警处理,可以通过检测该包含勒索病毒的电子邮件来源,然后从源头上进行处理。
本申请实施例中,在邮件传输链路上设置沙箱,在沙箱中安装全系列office程序并启动宏,监控文件操作行为和网络行为,文件操作行为例如使用宏脚本加密文件或使用宏脚本下载加密程序并启动加密程序加密文件,当监控到的操作频率大于频率阈值,则判定附件中包含勒索病毒。操作频率可以通过单位时间内的操作次数来确定。当单位时间内office程序触碰文件数>N则确定发生目标关注行为。当发生网络行为也可以确定发生目标关注行为。则可以确定附件中包含勒索病毒,拦截该电子邮件。
此方案沙箱仅监测文件操作行为和网络行为,监控量小,而且速度快,可避免用户接收邮件延迟,且可在用户接收前拦截勒索病毒,做到用户0损失。
下面结合附图,介绍本申请实施例中的电子邮件检测的方法。
如图5所示,本申请实施例提供的电子邮件检测的方法的一实施例包括:
101、接收电子邮件。
本申请实施例中执行电子邮件检测的计算机设备可以包括图4中的附件存在性判断系统和沙盒,电子邮件先传递到附件存在性判断系统,由该附件存在性判断系统检测该电子邮件中是否包含附件。
附件的检测方法可以有多种,例如直接检测附件的位置,也可以是检测邮件的正文内容和电子邮件的字节大小来确定是否包含附件。本申请实施例中对附件的检测方法不做限定,只要能快速检测出电子邮件中是否包含附近即可。
102、检测出所述电子邮件中包含附件时,将所述附件传递到沙箱中,所述沙箱为运行中的程序提供隔离环境。
关于沙箱的描述可以参阅上述沙箱的相关描述进行理解,本处不做重复赘述。
103、在所述沙箱中运行所述附件,并监测所述附件是否发生目标关注行为。
本申请实施例中的目标关注行为包括文件操作行为和网络行为中的至少一个。
其中,文件操作行为指的是附件的程序运行时对文件的操作行为,所述操作行为包括加密行为。
还可以对文件操作行为设置条件,如当所述附件的程序对所述文件的操作频率超过频率阈值时,确定所述附件发生目标关注行为,以避免只监测到一次附件的程序运行时对文件的操作就认为其中包含勒索病毒,导致误报警。
网络行为包括所述附件运行时的程序操作文件后的数据传递行为;当所述附件的程序操作文件后发生数据传递行为,则确定所述附件发生目标关注行为。
104、当监测到所述附件发生所述目标关注行为时,确定所述附件中包含勒索病毒,则拦截所述电子邮件,并输出报警提示信息。
本申请实施例采用接收电子邮件;检测出所述电子邮件中包含附件时,将所述附件传递到沙箱中,所述沙箱为运行中的程序提供隔离环境;在所述沙箱中运行所述附件,并监测所述附件是否发生目标关注行为;当监测到所述附件发生所述目标关注行为时,确定所述附件中包含勒索病毒,则拦截所述电子邮件,并输出报警提示信息。与现有技术中用户的计算机设备经常因为运行电子邮件中的附件中病毒相比,本申请实施例提供的电子邮件检测的方法,在电子邮件传输给邮件接收方之前提前做好勒索病毒检测,并拦截掉包含勒索病毒的电子邮件,从而降低了计算机设备被勒索病毒侵害的风险,提高了计算机设备的安全性。
可选地,参阅图6,本申请实施例提供的电子邮件检测的方法的另一实施例包括:
201、接收电子邮件。
本申请实施例中执行电子邮件检测的计算机设备可以包括图4中的附件存在性判断系统和沙盒,电子邮件先传递到附件存在性判断系统,由该附件存在性判断系统检测该电子邮件中是否包含附件。
附件的检测方法可以有多种,例如直接检测附件的位置,也可以是检测邮件的正文内容和电子邮件的字节大小来确定是否包含附件。本申请实施例中对附件的检测方法不做限定,只要能快速检测出电子邮件中是否包含附近即可。
202、检测出所述电子邮件中包含附件时,将所述附件传递到沙箱中,所述沙箱为运行中的程序提供隔离环境。
203、在所述沙箱中运行所述附件。
204-1、监测所述附件的程序运行时对文件的操作行为,所述操作行为包括加密行为。
本申请实施例中,所述监测所述附件的程序运行时对文件的操作行为,包括:
通过操作文件日志监测所述附件的程序运行时对文件的操作行为,所述操作文件日志为系统文件日志或文件过滤驱动程序所记录的日志。或者,
将所述附件的程序注入到用于监测的目标程序中,所述目标程序包括与操作文件关联的接口;通过监测所述附件的程序对所述接口的使用信息,监测所述附件的程序运行时对文件的操作行为。
如图4中,沙箱中包括文件操作行为监控模块和网络行为监控模块。
文件操作行为监控模块可以通过如下几种方式监控文件行为:
1、通过windows日志,如sysmon的文件记录日志监控附件运行时的程序对文件的操作行为。
该操作行为可以包括打开、修改和加密等一系列操作行为。
2、文件过滤驱动程序记录程序触碰文件的行为。
文件过滤驱动程序也可以称为文件系统过滤驱动(FSFD,file system filter driver)。
文件系统过滤驱动:从应用上看,文件系统过滤驱动可以过滤一个或多个文件系统,或文件系统卷的I/O操作,按不同的种类划分,文件系统过滤驱动可以分为日志记录、系统监测、数据修改和事件预防几类,通常,以文件系统过滤驱动为核心的应用程序有文件加解密、病毒防护、进程控制、文件访问、事后审计和信息安全方面的应用。
文件过滤驱动程序会记录附件的程序运行时对文件的操作行为,该操作行为可以包括打开、修改和加密等一系列操作行为。
3、将所述附件的程序注入到用于监测的目标程序中,所述目标程序包括与操作文件关联的接口;通过监测所述附件的程序对所述接口的使用信息,监测所述附件的程序运行时对文件的操作行为。
205-1、当所述附件的程序对所述文件的操作频率超过频率阈值时,确定所述附件发生目标关注行为。
204-2、监测所述附件的程序运行时的网络行为,所述网络行为包括所述附件运行时的程序操作文件后的数据传递行为。
所述监测所述附件的程序运行时的网络行为,包括:
通过系统网络日志或者所述附件的程序在网络层对数据包的抓取行为,监测所述附件的程序运行时的网络行为。或者,
将所述附件的程序注入到用于监测的目标程序中,所述目标程序包括与网络操作关联的接口;通过监测所述附件的程序对所述接口的使用信息,监测所述附件的程序运行时的网络行为。
网络行为包括所述附件运行时的程序操作文件后的数据传递行为,例如:密钥传输行为,通常勒索病毒对文件加密后都会产生相应的密钥,为了后续得到赎金时解密时使用该密钥,需要将该密钥发送回勒索病毒的控制端。
网络行为监控模可以通过如下几种方式监控网络行为:
1、通过windows日志,如sysmon的网络日志、系统本身的防火墙日志等即可监控网络行为是否发生。
2、在网络层抓取数据包,分析是否发生网络行为。
3、将附件的程序注入到用于监测的目标程序中,所述目标程序包括与网络操作关联的接口;通过监测所述附件的程序对所述接口的使用信息,监测所述附件的程序运行时的网络行为。
205-2、当所述附件的程序操作文件后发生数据传递行为,则确定所述附件发生目标关注行为。
206、当监测到所述附件发生所述目标关注行为时,确定所述附件中包含勒索病毒,则拦截所述电子邮件,并输出报警提示信息。
本申请实施例中对文件操作行为和网络行为的监控可以是择一选择监控,也可以同时监控,可以是监控到文件操作行为和网络行为中的一个就确定附件中包含勒索病毒,也可以是文件操作行为和网络行为两者都监控到才确定附件中包含勒索病毒。
本申请实施例中的目标关注行为包括文件操作行为和网络行为中的至少一个。
可选地,本申请实施例中,当监测到所述附件未发生所述目标关注行为时,则放行所述电子邮件。
以上是对电子邮件检测的方法的描述,下面结合附图介绍本申请实施例中电子邮件检测的装置。
如图7所示,本申请实施例提供的电子邮件检测的装置30的一实施例包括:
接收程序模块301,用于接收电子邮件;
检测程序模块302,用于检测出所述接收程序模块301接收的所述电子邮件中是否包含附件;
传递程序模块303,用于在所述检测程序模块302检测出所述电子邮件中包含附件时,将所述附件传递到沙箱中,所述沙箱为运行中的程序提供隔离环境;
程序运行模块304,用于在所述沙箱中运行所述传递程序模块303传递来的附件;
监测程序模块305,用于在所述程序运行模块304运行所述附件时,监测所述附件是否发生目标关注行为;
处理程序模块306,用于当所述监测程序模块305监测到所述附件发生所述目标关注行为时,确定所述附件中包含勒索病毒,则拦截所述电子邮件,并输出报警提示信息。
处理程序模块306可以包括用于拦截电子邮件的处理器,还可以包括输出报警提示信息的收发器或者I/O接口。
本申请实施例中,接收程序模块301接收电子邮件;检测程序模块302检测出所述接收程序模块301接收的所述电子邮件中是否包含附件;传递程序模块303在所述检测程序模块302检测出所述电子邮件中包含附件时,将所述附件传递到沙箱中,所述沙箱为运行中的程序提供隔离环境;程序运行模块304在所述沙箱中运行所述传递程序模块303传递来的附件;监测程序模块305在所述程序运行模块304运行所述附件时,监测所述附件是否发生目标关注行为;处理程序模块306当所述监测程序模块305监测到所述附件发生所述目标关注行为时,确定所述附件中包含勒索病毒,则拦截所述电子邮件,并输出报警提示信息。与现有技术中用户的计算机设备经常因为运行电子邮件中的附件中病毒相比,本申请实施例提供的电子邮件检测的装置,在电子邮件传输给邮件接收方之前提前做好勒索病毒检测,并拦截掉包含勒索病毒的电子邮件,从而降低了计算机设备被勒索病毒侵害的风险,提高了计算机设备的安全性。
可选地,本申请实施例提供的电子邮件检测的装置30的另一实施例中,
所述监测程序模块305用于:
监测所述附件的程序运行时对文件的操作行为,所述操作行为包括加密行为;
当所述附件的程序对所述文件的操作频率超过频率阈值时,确定所述附件发生目标关注行为。
其中,监测所述附件的程序运行时对文件的操作行为,可以包括:
通过操作文件日志监测所述附件的程序运行时对文件的操作行为,所述操作文件日志为系统文件日志或文件过滤驱动程序所记录的日志。
或者,
将所述附件的程序注入到用于监测的目标程序中,所述目标程序包括与操作文件关联的接口;
通过监测所述附件的程序对所述接口的使用信息,监测所述附件的程序运行时对文件的操作行为。
可选地,本申请实施例提供的电子邮件检测的装置30的另一实施例中,
所述监测程序模块305用于:
监测所述附件的程序运行时的网络行为,所述网络行为包括所述附件运行时的程序操作文件后的数据传递行为;
当所述附件的程序操作文件后发生数据传递行为,则确定所述附件发生目标关注行为。
其中,监测所述附件的程序运行时的网络行为,可以包括:
通过系统网络日志或者所述附件的程序在网络层对数据包的抓取行为,监测所述附件的程序运行时的网络行为。
或者,
将所述附件的程序注入到用于监测的目标程序中,所述目标程序包括与网络操作关联的接口;
通过监测所述附件的程序对所述接口的使用信息,监测所述附件的程序运行时的网络行为。
可选地,处理程序模块306还用于当监测到所述附件未发生所述目标关注行为时,则放行所述电子邮件。
以上对电子邮件检测的装置30的描述可以参阅前面图1至图6的方法部分进行理解,本处不做过多赘述。
执行本申请实施例中电子邮件检测的方法的计算机设备可以是服务器结构,当然也可以是终端结构,通常较多的会在服务器上实现,因此,本申请实施例中以服务器的结构为例,介绍执行本申请实施例中电子邮件检测的方法的计算机设备。
图8是本发明实施例提供的计算机设备40的结构示意图。所述计算机设备40包括处理器410、存储器450和收发器430,存储器450可以包括只读存储器和随机存取存储器,并向处理器410提供操作指令和数据。存储器450的一部分还可以包括非易失性随机存取存储器(NVRAM)。
在一些实施方式中,存储器450存储了如下的元素,可执行模块或者数据结构,或者他们的子集,或者他们的扩展集:
在本发明实施例中,通过调用存储器450存储的操作指令(该操作指令可存储在操作系统中),
通过收发器430接收电子邮件;
检测出所述电子邮件中包含附件时,将所述附件传递到沙箱中,所述沙箱为运行中的程序提供隔离环境;
在所述沙箱中运行所述附件,并监测所述附件是否发生目标关注行为;
当监测到所述附件发生所述目标关注行为时,确定所述附件中包含勒索病毒,则拦截所述电子邮件,并输出报警提示信息。
与现有技术中用户的计算机设备经常因为运行电子邮件中的附件中病毒相比,本申请实施例提供的计算机设备,在电子邮件传输给邮件接收方之前提前做好勒索病毒检测,并拦截掉包含勒索病毒的电子邮件,从而降低了计算机设备被勒索病毒侵害的风险,提高了计算机设备的安全性。
处理器410控制计算机设备40的操作,处理器410还可以称为CPU(Central Processing Unit,中央处理单元)。存储器450可以包括只读存储器和随机存取存储器,并向处理器410提供指令和数据。存储器450的一部分还可以包括非易失性随机存取存储器(NVRAM)。具体的应用中计算机设备40的各个组件通过总线系统420耦合在一起,其中总线系统420除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线系统420。
上述本发明实施例揭示的方法可以应用于处理器410中,或者由处理器410实现。处理器410可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器410中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器410可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器450,处理器410读取存储器450中的信息,结合其硬件完成上述方法的步骤。
可选地,处理器410用于:
监测所述附件的程序运行时对文件的操作行为,所述操作行为包括加密行为;
当所述附件的程序对所述文件的操作频率超过频率阈值时,确定所述附件发生目标关注行为。
可选地,处理器410用于:
监测所述附件的程序运行时的网络行为,所述网络行为包括所述附件运行时的程序操作文件后的数据传递行为;
当所述附件的程序操作文件后发生数据传递行为,则确定所述附件发生目标关注行为。
可选地,处理器410还用于:
通过操作文件日志监测所述附件的程序运行时对文件的操作行为,所述操作文件日志为系统文件日志或文件过滤驱动程序所记录的日志。
可选地,处理器410用于:
将所述附件的程序注入到用于监测的目标程序中,所述目标程序包括与操作文件关联的接口;
通过监测所述附件的程序对所述接口的使用信息,监测所述附件的程序运行时对文件的操作行为。
可选地,处理器410用于:
通过系统网络日志或者所述附件的程序在网络层对数据包的抓取行为,监测所述附件的程序运行时的网络行为。
可选地,处理器410用于:
将所述附件的程序注入到用于监测的目标程序中,所述目标程序包括与网络操作关联的接口;
通过监测所述附件的程序对所述接口的使用信息,监测所述附件的程序运行时的网络行为。
可选地,收发器430还用于当监测到所述附件未发生所述目标关注行为时,则放行所述电子邮件。
上对计算机设备60的描述可以参阅图1至图7部分的描述进行理解,本处不再重复赘述。
以上计算机设备还可以是虚拟化的系统,该计算机设备在虚拟化场景下的表现形式如图9所示,该虚拟化场景下的计算机设备包括硬件层和运行在硬件层之上的虚拟机监控器(VMM)1001,以及多个虚拟机1002。可以选择一个或者多个虚拟机作为主控节点,以及多个虚拟机作为工作节点。
具体的,虚拟机1002:通过虚拟机软件在公共硬件资源上模拟出的一台或者多台虚拟的计算机,而这些虚拟机就像真正的计算机那样进行工作,虚拟机上可以安装操作系统和应用程序,虚拟机还可访问网络资源。对于在虚拟机中运行的应用程序而言,虚拟机就像是在真正的计算机中进行工作。
硬件层:虚拟化环境运行的硬件平台,可以由一个或多个物理主机的硬件资源抽象得到的。其中,硬件层可包括多种硬件,例如包括处理器1004(例如CPU)和存储器1005,还可以包括网卡1003(例如RDMA网卡)、高速/低速输入/输出(I/O,Input/Output)设备,及具有特定处理功能的其它设备。
另外,该虚拟化场景下的分布式系统还可以包括宿主机(Host):作为管理层,用以完成硬件资源的管理、分配;为虚拟机呈现虚拟硬件平台;实现虚拟机的调度和隔离。其中,Host可能是虚拟机监控器(VMM);此外,有时VMM和1个特权虚拟机配合,两者结合组成Host。其中,虚拟硬件平台对其上运行的各个虚拟机提供各种硬件资源,如提供虚拟处理器(如VCPU)、虚拟内存、虚拟磁盘、虚拟网卡等等。其中,该虚拟磁盘可对应Host的一个文件或者一个逻辑块设备。虚拟机运行在Host为其准备的虚拟硬件平台上,Host上运行一个或多个虚拟机。
特权虚拟机:一种特殊的虚拟机,亦可称为驱动域,例如这种特殊的虚拟机在Xen Hypervisor平台上被称作Dom0,在该虚拟机中安装了例如网卡、SCSI磁盘等真实物理设备的驱动程序,能检测和直接访问这些真实物理设备。其他虚拟机利用Hypervisor提供的相应机制通过特权虚拟机访问真实物理设备。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
以上对本申请实施例所提供的电子邮件检测的方法、装置以、设备及计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
- 还没有人留言评论。精彩留言会获得点赞!