[发明专利]一种邮件的监控方法、系统与装置

权利要求书

1.一种邮件的监控方法，其特征在于，包括：

获取新邮件携带的附件；

对所述附件采用哈希算法进行计算，获得所述附件的哈希特征；具体包括：识别所述附件的文件格式；当所述附件为可执行文件或动态链接库文件时，获取所述附件的汇编代码并构造汇编代码序列，对所述汇编代码序列采用哈希算法进行计算，获得所述附件的哈希特征；当所述附件为脚本文件时，提取所述附件的token，对所述附件的token采用哈希算法进行计算，获得所述附件的哈希特征；当所述附件为pdf文件或Office文件时，获取所述附件的树状结构，提取所述附件的树状结构对应的节点路径，对所述节点路径采用哈希算法进行计算，获得所述附件的哈希特征；

扫描预设的样本文件，提取所述预设的样本文件的文件特征；其中所述预设的样本文件包括标记为恶意软件的样本文件以及标记为可疑软件的样本文件；

将所述文件特征输入SVM分类器进行特征训练，构建所述预设的过滤模型；

将所述附件的哈希特征输入预设的过滤模型，获得所述附件为恶意软件的预测值；

当所述预测值大于设定的阈值时，将所述附件发送到预设的沙箱工具；

通过所述预设的沙箱工具识别所述附件；

当所述附件识别为恶意软件时，对所述附件添加恶意软件标记并拒收所述新邮件；

当所述附件识别为可疑软件时，对所述附件添加可疑软件标记并生成携带所述新邮件的警告邮件以使得收信人通过所述警告邮件打开所述新邮件。

2.如权利要求1所述的邮件的监控方法，其特征在于，所述当所述附件识别为可疑软件时，对所述附件添加可疑软件标记并生成携带所述新邮件的警告邮件以使得收信人通过所述警告邮件打开所述新邮件，具体包括：

当所述附件识别为可疑软件时，将所述附件发送预设的杀毒工具；

通过所述预设的杀毒工具再次识别所述附件；

当所述附件判定为可疑软件时，维持所述附件的可疑软件标记并生成携带所述新邮件的警告邮件以使得收信人通过所述警告邮件打开所述新邮件；

当所述附件判定为恶意软件时，将所述附件的可疑软件标记更新为恶意软件标记。

3.如权利要求1所述的邮件的监控方法，其特征在于，所述通过所述预设的沙箱工具识别所述附件，具体包括：

当所述预设的沙箱工具虚拟打开所述附件后，检测所述附件是否对所述沙箱工具产生恶意行为；其中，所述恶意行为包括所述沙箱工具的重要目录中增加文件、所述沙箱工具的重要文件以及配置被修改以及进程被注入外部逻辑；

当所述附件对所述沙箱工具产生恶意行为时，所述附件识别为恶意软件；

当所述附件对所述沙箱工具没有产生恶意行为时，所述附件识别为可疑软件。

4.如权利要求2所述的邮件的监控方法，其特征在于，所述当所述附件判定为恶意软件时，将所述附件的可疑软件标记更新为恶意软件标记，具体包括：

当所述附件判定为恶意软件时，检测发信人与所述收信人的紧密关系；

当所述发信人与所述收信人的相互发信数量大于预设的紧密阈值时，维持所述附件的可疑软件标记；

当所述发信人与所述收信人的相互发信数量不大于所述预设的紧密阈值时，将所述附件的可疑软件标记更新为恶意软件标记。

5.如权利要求1所述的邮件的监控方法，其特征在于，所述当所述附件为可执行文件或动态链接库文件时，获取所述附件的汇编代码并构造汇编代码序列，对所述汇编代码序列采用哈希算法进行计算，获得所述附件的哈希特征，具体包括：

当所述附件为可执行文件或动态链接库文件时，获取所述附件的汇编代码；

将所述附件的三个相邻的所述汇编代码合并生成所述汇编代码序列；

对所述汇编代码序列采用哈希算法进行计算，获得所述附件的哈希特征。