[发明专利]一种电子邮件检测的方法、装置、设备及可读存储介质

权利要求书

1.一种电子邮件检测的方法，其特征在于，包括：

接收电子邮件；

检测出所述电子邮件中包含附件时，将所述附件传递到沙箱中，所述沙箱为运行中的程序提供隔离环境；

在所述沙箱中运行所述附件，并监测所述附件是否发生目标关注行为；

当监测到所述附件发生所述目标关注行为时，确定所述附件中包含勒索病毒，则拦截所述电子邮件，并输出报警提示信息。

2.根据权利要求1所述的方法，其特征在于，所述监测所述附件是否发生目标关注行为，包括：

监测所述附件的程序运行时对文件的操作行为，所述操作行为包括加密行为；

当所述附件的程序对所述文件的操作频率超过频率阈值时，确定所述附件发生目标关注行为。

3.根据权利要求1所述的方法，其特征在于，所述监测所述附件是否发生目标关注行为，包括：

监测所述附件的程序运行时的网络行为，所述网络行为包括所述附件运行时的程序操作文件后的数据传递行为；

当所述附件的程序操作文件后发生数据传递行为，则确定所述附件发生目标关注行为。

4.根据权利要求2所述的方法，其特征在于，所述监测所述附件的程序运行时对文件的操作行为，包括：

通过操作文件日志监测所述附件的程序运行时对文件的操作行为，所述操作文件日志为系统文件日志或文件过滤驱动程序所记录的日志。

5.根据权利要求2所述的方法，其特征在于，所述监测所述附件的程序运行时对文件的操作行为，包括：

将所述附件的程序注入到用于监测的目标程序中，所述目标程序包括与操作文件关联的接口；

通过监测所述附件的程序对所述接口的使用信息，监测所述附件的程序运行时对文件的操作行为。

6.根据权利要求3所述的方法，其特征在于，所述监测所述附件的程序运行时的网络行为，包括：

通过系统网络日志或者所述附件的程序在网络层对数据包的抓取行为，监测所述附件的程序运行时的网络行为。

7.根据权利要求3所述的方法，其特征在于，所述监测所述附件的程序运行时的网络行为，包括：

将所述附件的程序注入到用于监测的目标程序中，所述目标程序包括与网络操作关联的接口；

通过监测所述附件的程序对所述接口的使用信息，监测所述附件的程序运行时的网络行为。

8.根据权利要求1-7任一所述的方法，其特征在于，当监测到所述附件未发生所述目标关注行为时，则放行所述电子邮件。

9.一种电子邮件检测的装置，其特征在于，包括：

接收程序模块，用于接收电子邮件；

检测程序模块，用于检测出所述接收程序模块接收的所述电子邮件中是否包含附件；

传递程序模块，用于在所述检测程序模块检测出所述电子邮件中包含附件时，将所述附件传递到沙箱中，所述沙箱为运行中的程序提供隔离环境；

程序运行模块，用于在所述沙箱中运行所述传递程序模块传递来的附件；

监测程序模块，用于在所述程序运行模块运行所述附件时，监测所述附件是否发生目标关注行为；

处理程序模块，用于当所述监测程序模块监测到所述附件发生所述目标关注行为时，确定所述附件中包含勒索病毒，则拦截所述电子邮件，并输出报警提示信息。

10.根据权利要求9所述的装置，其特征在于，

所述监测程序模块用于：

监测所述附件的程序运行时对文件的操作行为，所述操作行为包括加密行为；

当所述附件的程序对所述文件的操作频率超过频率阈值时，确定所述附件发生目标关注行为。