1.一种电子邮件检测的方法,其特征在于,包括:
接收电子邮件;
检测出所述电子邮件中包含附件时,将所述附件传递到沙箱中,所述沙箱为运行中的程序提供隔离环境;
在所述沙箱中运行所述附件,并监测所述附件是否发生目标关注行为;
当监测到所述附件发生所述目标关注行为时,确定所述附件中包含勒索病毒,则拦截所述电子邮件,并输出报警提示信息。
2.根据权利要求1所述的方法,其特征在于,所述监测所述附件是否发生目标关注行为,包括:
监测所述附件的程序运行时对文件的操作行为,所述操作行为包括加密行为;
当所述附件的程序对所述文件的操作频率超过频率阈值时,确定所述附件发生目标关注行为。
3.根据权利要求1所述的方法,其特征在于,所述监测所述附件是否发生目标关注行为,包括:
监测所述附件的程序运行时的网络行为,所述网络行为包括所述附件运行时的程序操作文件后的数据传递行为;
当所述附件的程序操作文件后发生数据传递行为,则确定所述附件发生目标关注行为。
4.根据权利要求2所述的方法,其特征在于,所述监测所述附件的程序运行时对文件的操作行为,包括:
通过操作文件日志监测所述附件的程序运行时对文件的操作行为,所述操作文件日志为系统文件日志或文件过滤驱动程序所记录的日志。
5.根据权利要求2所述的方法,其特征在于,所述监测所述附件的程序运行时对文件的操作行为,包括:
将所述附件的程序注入到用于监测的目标程序中,所述目标程序包括与操作文件关联的接口;
通过监测所述附件的程序对所述接口的使用信息,监测所述附件的程序运行时对文件的操作行为。
6.根据权利要求3所述的方法,其特征在于,所述监测所述附件的程序运行时的网络行为,包括:
通过系统网络日志或者所述附件的程序在网络层对数据包的抓取行为,监测所述附件的程序运行时的网络行为。
7.根据权利要求3所述的方法,其特征在于,所述监测所述附件的程序运行时的网络行为,包括:
将所述附件的程序注入到用于监测的目标程序中,所述目标程序包括与网络操作关联的接口;
通过监测所述附件的程序对所述接口的使用信息,监测所述附件的程序运行时的网络行为。
8.根据权利要求1-7任一所述的方法,其特征在于,当监测到所述附件未发生所述目标关注行为时,则放行所述电子邮件。
9.一种电子邮件检测的装置,其特征在于,包括:
接收程序模块,用于接收电子邮件;
检测程序模块,用于检测出所述接收程序模块接收的所述电子邮件中是否包含附件;
传递程序模块,用于在所述检测程序模块检测出所述电子邮件中包含附件时,将所述附件传递到沙箱中,所述沙箱为运行中的程序提供隔离环境;
程序运行模块,用于在所述沙箱中运行所述传递程序模块传递来的附件;
监测程序模块,用于在所述程序运行模块运行所述附件时,监测所述附件是否发生目标关注行为;
处理程序模块,用于当所述监测程序模块监测到所述附件发生所述目标关注行为时,确定所述附件中包含勒索病毒,则拦截所述电子邮件,并输出报警提示信息。
10.根据权利要求9所述的装置,其特征在于,
所述监测程序模块用于:
监测所述附件的程序运行时对文件的操作行为,所述操作行为包括加密行为;
当所述附件的程序对所述文件的操作频率超过频率阈值时,确定所述附件发生目标关注行为。
11.根据权利要求9所述的装置,其特征在于,
所述监测程序模块用于:
监测所述附件的程序运行时的网络行为,所述网络行为包括所述附件运行时的程序操作文件后的数据传递行为;
当所述附件的程序操作文件后发生数据传递行为,则确定所述附件发生目标关注行为。
12.一种计算机设备,其特征在于,包括:输入/输出(I/O)接口、处理器和存储器,所述存储器中存储有权利要求1-8任一所述的电子邮件检测的指令;
所述处理器用于执行存储器中存储的勒索软件的处理的指令,执行如权利要求1-8任一所述的电子邮件检测的方法的步骤。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述权利要求1-8任一所述的方法。