CN118041613A - 一种检测恶意网络内容的方法、装置及电子设备 - Google Patents
一种检测恶意网络内容的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN118041613A CN118041613A CN202410147669.7A CN202410147669A CN118041613A CN 118041613 A CN118041613 A CN 118041613A CN 202410147669 A CN202410147669 A CN 202410147669A CN 118041613 A CN118041613 A CN 118041613A
- Authority
- CN
- China
- Prior art keywords
- privacy
- malicious
- data
- user
- resource locator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000004088 simulation Methods 0.000 claims abstract description 82
- 230000006399 behavior Effects 0.000 claims description 30
- 238000012545 processing Methods 0.000 claims description 30
- 238000013507 mapping Methods 0.000 claims description 6
- 238000012790 confirmation Methods 0.000 claims description 5
- 230000000694 effects Effects 0.000 claims description 4
- 238000004891 communication Methods 0.000 abstract description 14
- 230000002155 anti-virotic effect Effects 0.000 description 10
- 230000008569 process Effects 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 241000700605 Viruses Species 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000012217 deletion Methods 0.000 description 4
- 230000037430 deletion Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 210000001072 colon Anatomy 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
一种检测恶意网络内容的方法、装置及电子设备,涉及网络通信技术领域。在该方法中,对发送至用户设备的电子邮件进行识别,判断电子邮件中是否包含资源定位符;若电子邮件中包含资源定位符,则转发电子邮件至模拟设备,用户设备的第一系统环境与模拟设备的第二系统环境相同,用户设备的第一隐私数据的类型与模拟设备的第二隐私数据的类型相同,第一隐私数据的数值与第二隐私数据的数值不同;在模拟设备下载资源定位符对应的应用程序;判断应用程序是否实施访问第一隐私数据的恶意行为;若应用程序实施恶意行为,则确定电子邮件包含恶意网络内容。实施本申请提供的技术方案,对电子邮件中的恶意网络内容进行识别,减少对用户计算机的损害。
Description
技术领域
本申请涉及网络通信技术领域,具体涉及一种检测恶意网络内容的方法、装置及电子设备。
背景技术
目前,通信网络上存在着恶意网络内容的威胁,如恶意软件和恶意代码。恶意软件是指对计算机用户产生负面影响的任何程序或文件,如机器人、计算机病毒、蠕虫、特洛伊木马、广告软件和间谍软件等,这些软件可以未经用户许可收集用户信息或以其他方式运行。为了防止恶意网络内容造成的问题,采取了多种措施和设备。例如,计算机通常装有防病毒扫描软件,用于对特定客户端设备进行病毒扫描。计算机还可能包括间谍软件和广告软件扫描软件。扫描操作可以手动执行,也可以根据用户或系统管理员指定的时间表定期执行。不幸的是,当扫描软件发现病毒或间谍软件时,特定计算机上的损坏或隐私丢失可能已经发生。此外,手动创建新的防病毒签名和更新防病毒应用程序可能需要数天或数周的时间,这给恶意软件作者留下了创造逃避签名的新版本的时间。此外,多态漏洞利用也是限制某些防病毒应用程序有效性的问题。
目前,恶意网络内容可通过电子消息(包括电子邮件)使用各种形式的基于网络的电子邮件等协议进行分发,由于恶意网络内容可能会直接附加到消息中。恶意网络内容可能在被杀毒软件、防火墙、入侵检测系统等检测到之前攻击或感染用户的计算机,导致用户计算机无法正常工作。
因此,亟需可解决上述技术问题的一种检测恶意网络内容的方法、装置及电子设备。
发明内容
本申请提供了一种检测恶意网络内容的方法、装置及电子设备,该方法通过对电子邮件中的资源定位符进行识别,再使用模拟设备对应用程序进行分析,及时对电子邮件中的恶意网络内容进行识别,减少恶意网络内容对用户计算机的损害。
第一方面,本申请提供了一种检测恶意网络内容的方法,方法包括:对发送至用户设备的电子邮件进行识别,判断电子邮件中是否包含资源定位符;若电子邮件中包含资源定位符,则转发电子邮件至模拟设备,用户设备的第一系统环境与模拟设备的第二系统环境相同,用户设备的第一隐私数据的类型与模拟设备的第二隐私数据的类型相同,第一隐私数据的数值与第二隐私数据的数值不同;在模拟设备下载资源定位符对应的应用程序;判断应用程序是否存在实施访问第一隐私数据的恶意行为;若应用程序存在实施恶意行为,则确定电子邮件包含恶意网络内容。
通过采用上述技术方案,识别电子邮件中是否包含资源定位符,当电子邮件中包含资源定位符,将电子邮件转发至模拟设备进行处理,模拟设备的第二系统环境与用户设备的第一系统环境相同,模拟设备下载资源定位符对应的应用程序,若应用程序实施访问第一隐私数据的恶意行为,则确定电子邮件包含恶意网络内容,通过在模拟设备上将电子邮件中的应用程序进行运行,避免用户设备接触潜在的恶意应用程序,减少恶意网络内容对用户计算机的损害。
可选的,在若电子邮件中包含资源定位符,则转发电子邮件至模拟设备之前,方法还包括:获取用户标记的第一隐私数据;将第一隐私数据的第一字符替换为第二字符,得到第二隐私数据,第一字符为第一隐私数据中的多个字符中的任意一个字符,第一字符的数值与第二字符的数值不同;将第一系统环境对应的数据和第二隐私数据发送至模拟设备。
通过采用上述技术方案,获取用户标记的第一隐私数据,并将第一隐私数据的第一字符替换为第二字符,得到第二隐私数据,替换可保护用户的隐私数据,使其不被恶意应用程序使用,再将第一字符替换为第二字符,确保第一字符与第二字符的数值不同,提高用户数据的安全性,再将第一系统环境对应的数据和第二隐私数据发送至模拟设备,使模拟设备能在与用户设备相同的数据环境下运行应用程序,减少恶意应用程序对用户数据的侵害,为用户提供安全的应用程序体验。
可选的,获取用户标记的第一隐私数据,具体包括:获取用户对目标文件夹的隐私标记,确定目标文件夹为隐私文件夹,目标文件夹为用户设备中多个文件夹中的任意一个文件夹;获取隐私文件夹内存储的隐私文件;标记隐私文件的数据为第一隐私数据。
通过采用上述技术方案,获取用户对目标文件夹的隐私标记,确定目标文件夹为隐私文件夹,增强用户对隐私数据的保密,提供获取隐私文件夹内存储的隐私文件,对隐私文件进一步处理和保护,有助于保护用户的个人隐私,提供将隐私文件的数据标记为第一隐私数据,减少个人信息的泄露风险。
可选的,判断应用程序是否存在实施访问第一隐私数据的恶意行为;具体包括:获取应用程序的访问记录,访问记录包括应用程序访问的文件记录;判断文件记录对应的数据是否为用户标记的隐私数据,确定应用程序是否存在实施恶意行为。
通过采用上述技术方案,获取应用程序的访问记录,可了解应用程序对用户设备上文件进行的操作和访问情况,通过判断文件记录对应的数据是否为用户标记的隐私数据,识别应用程序是否存在实施恶意行为,帮助用户保护个人隐私数据的安全性,增加对潜在风险的防御能力。
可选的,在若应用程序实施恶意行为,则确定电子邮件包含恶意网络内容之后,方法还包括:对资源定位符进行截图,得到定位符截图;删除电子邮件中的资源定位符;在电子邮件中资源定位符的位置插入定位符截图,得到安全邮件。
通过采用上述技术方案,对资源定位符进行截图,得到定位符截图,将电子邮件中的资源定位符进行删除,避免电子邮件中资源定位符被点击或访问,减低误点击恶意链接的风险,通过在电子邮件中插入定位符截图,将资源定位符使用定位符截图替代,使电子邮件不再包含可点击或访问的链接,有助于提高电子邮件的安全性,避免用户误点击或被引导到不安全的网站。
可选的,在若应用程序实施恶意行为,则确定电子邮件包含恶意网络内容之后,方法还包括:标记资源定位符为恶意资源定位符;标记应用程序为恶意资源定位符对应的恶意资源;建立恶意资源定位符与恶意资源的映射关系,并存储恶意资源的程序代码。
通过采用上述技术方案,在确定电子邮件中包含恶意网络内容后,可对应用程序进行标记,并建立恶意资源定位符与恶意资源之间的映射关系,后续出现相同的恶意资源定位符时,及时确定电子邮件中包含恶意网络内容,提升对电子邮件中恶意网络内容的识别效率。
可选的,在标记隐私文件的数据为第一隐私数据之前,方法还包括:获取用户设备对应的隐私文件;在模拟设备中同步删除或增加的隐私文件,并同步修改隐私文件对应的隐私数据。
通过采用上述技术方案,获取用户设备上的隐私文件,根据用户设备的删除或增加隐私文件,模拟设备同步删除或增加隐私文件,确保用户设备上的隐私文件与模拟设备上的隐私文件处于一致,避免出现用户设备与模拟设备的系统环境不对应的情况。
在本申请的第二方面提供了一种检测恶意网络内容的装置,装置包括获取单元、处理单元以及确认单元;获取单元,对发送至用户设备的电子邮件进行识别,判断电子邮件中是否包含资源定位符;处理单元,若电子邮件中包含资源定位符,则转发电子邮件至模拟设备,用户设备的第一系统环境与模拟设备的第二系统环境相同,用户设备的第一隐私数据的类型与模拟设备的第二隐私数据的类型相同,第一隐私数据的数值与第二隐私数据的数值不同;在模拟设备下载资源定位符对应的应用程序;判断应用程序是否存在实施访问第一隐私数据的恶意行为;确认单元,若应用程序存在实施恶意行为,则确定电子邮件包含恶意网络内容。
可选的,获取单元用于获取用户标记的第一隐私数据;处理单元用于将第一隐私数据的第一字符替换为第二字符,得到第二隐私数据,第一字符为第一隐私数据中的多个字符中的任意一个字符,第一字符的数值与第二字符的数值不同;将第一系统环境对应的数据和第二隐私数据发送至模拟设备。
可选的,获取单元用于获取用户对目标文件夹的隐私标记,确定目标文件夹为隐私文件夹,目标文件夹为用户设备中多个文件夹中的任意一个文件夹;获取单元用于获取隐私文件夹内存储的隐私文件;处理单元用于标记隐私文件的数据为第一隐私数据。
可选的,获取单元用于获取应用程序的访问记录,访问记录包括应用程序访问的文件记录;处理单元用于判断文件记录对应的数据是否为用户标记的隐私数据,确定应用程序是否存在实施恶意行为。
可选的,处理单元用于对资源定位符进行截图,得到定位符截图;删除电子邮件中的资源定位符;在电子邮件中资源定位符的位置插入定位符截图,得到安全邮件。
可选的,处理单元用于标记资源定位符为恶意资源定位符;标记应用程序为恶意资源定位符对应的恶意资源;建立恶意资源定位符与恶意资源的映射关系,并存储恶意资源的程序代码。
可选的,获取单元用于获取用户设备对应的隐私文件;处理单元用于在模拟设备中同步删除或增加的隐私文件,并同步修改隐私文件对应的隐私数据。
在本申请第三方面提供一种电子设备,电子设备包括处理器、存储器、用户接口及网络接口,存储器用于存储指令,用户接口和网络接口用于与其他设备通信,处理器用于执行存储器中存储的指令,使得一种电子设备执行如本申请上述中任意一项的方法。
在本申请第四方面提供一种计算机可读存储介质,计算机可读存储介质存储有指令,当指令被执行时,执行本申请上述中任意一项的方法。
综上所述,本申请实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
1、识别电子邮件中是否包含资源定位符,当电子邮件中包含资源定位符,将电子邮件转发至模拟设备进行处理,模拟设备的第二系统环境与用户设备的第一系统环境相同,模拟设备下载资源定位符对应的应用程序,若应用程序实施访问第一隐私数据的恶意行为,则确定电子邮件包含恶意网络内容,通过在模拟设备上将电子邮件中的应用程序进行运行,避免用户设备接触潜在的恶意应用程序,减少恶意网络内容对用户计算机的损害。
2、获取用户标记的第一隐私数据,并将第一隐私数据的第一字符替换为第二字符,得到第二隐私数据,替换可保护用户的隐私数据,使其不被恶意应用程序使用,再将第一字符替换为第二字符,确保第一字符与第二字符的数值不同,提高用户数据的安全性,再将第一系统环境对应的数据和第二隐私数据发送至模拟设备,使模拟设备能在与用户设备相同的数据环境下运行应用程序,减少恶意应用程序对用户数据的侵害,为用户提供安全的应用程序体验。
3、获取用户对目标文件夹的隐私标记,确定目标文件夹为隐私文件夹,增强用户对隐私数据的保密,提供获取隐私文件夹内存储的隐私文件,对隐私文件进一步处理和保护,有助于保护用户的个人隐私,提供将隐私文件的数据标记为第一隐私数据,减少个人信息的泄露风险。
4、获取应用程序的访问记录,可了解应用程序对用户设备上文件进行的操作和访问情况,通过判断文件记录对应的数据是否为用户标记的隐私数据,识别应用程序是否实施恶意行为,帮助用户保护个人隐私数据的安全性,增加对潜在风险的防御能力。
附图说明
图1是本申请实施例提供的一种检测恶意网络内容的方法的流程示意图;
图2是本申请实施例提供的一种检测恶意网络内容的方法的场景示意图;
图3是本申请实施例提供的一种检测恶意网络内容的装置的结构示意图;
图4是本申请实施例公开的一种电子设备的结构示意图。
附图标记说明:301、获取单元;302、处理单元;303、确认单元;400、电子设备;401、处理器;402、通信总线;403、用户接口;404、网络接口;405、存储器。
具体实施方式
为了使本领域的技术人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。
在本申请实施例的描述中,“例如”或者“举例来说”等词用于表示作例子、例证或说明。本申请实施例中被描述为“例如”或者“举例来说”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“例如”或者“举例来说”等词旨在以具体方式呈现相关概念。
在本申请实施例的描述中,术语“多个”的含义是指两个或两个以上。例如,多个系统是指两个或两个以上的系统,多个屏幕终端是指两个或两个以上的屏幕终端。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
目前,通信网络上存在着恶意网络内容的威胁,如恶意软件和恶意代码。恶意软件是指对计算机用户产生负面影响的任何程序或文件,如机器人、计算机病毒、蠕虫、特洛伊木马、广告软件和间谍软件等,这些软件可以未经用户许可收集用户信息或以其他方式运行。为了防止恶意网络内容造成的问题,采取了多种措施和设备。例如,计算机通常装有防病毒扫描软件,用于对特定客户端设备进行病毒扫描。计算机还可能包括间谍软件和广告软件扫描软件。扫描操作可以手动执行,也可以根据用户或系统管理员指定的时间表定期执行。不幸的是,当扫描软件发现病毒或间谍软件时,特定计算机上的损坏或隐私丢失可能已经发生。此外,手动创建新的防病毒签名和更新防病毒应用程序可能需要数天或数周的时间,这给恶意软件作者留下了创造逃避签名的新版本的时间。此外,多态漏洞利用也是限制某些防病毒应用程序有效性的问题。
恶意网络内容可以经由网站在网络上分发。以这种方式分发的恶意网络内容可能会被主动下载并安装在用户的计算机上,而无需用户批准或了解,只需访问托管恶意网络内容的网站即可。托管恶意网络内容的网站可以被称为恶意网站。恶意网络内容可以嵌入与恶意网站托管的网页相关联的数据中。
目前,恶意网络内容还可通过电子消息(包括电子邮件)使用各种形式的基于网络的电子邮件等协议进行分发,由于恶意网络内容可能会直接附加到消息中。恶意网络内容可能在被杀毒软件、防火墙、入侵检测系统等检测到之前攻击或感染用户的计算机,导致用户计算机无法正常工作。
因此,如何对电子邮件中包含的恶意网络内容进行识别,确保用户计算机可正常工作是目前亟需解决的问题。本申请实施例提供的一种检测恶意网络内容的方法,应用于服务器中。本申请的服务器可以是为互联网服务的平台,图1是本申请实施例提供的一种检测恶意网络内容的方法的流程示意图,参考图1,该方法包含以下步骤S101-步骤S105。
S101:对发送至用户设备的电子邮件进行识别,判断电子邮件中是否包含资源定位符。
在上述S101中,在本申请中,由于电子邮件是直接发送给用户设备的,用户设备是指用户的计算机设备,但用户设备在查看电子邮件时,若电子邮件中附带恶意网络内容,恶意网络内容影响用户计算机的正常使用,为了减少恶意网络内容对用户计算机的损害,需及时对电子邮件中的内容进行识别,确保电子邮件中不存在恶意网络内容。如图2所示,用户设备与服务器相连,模拟设备与服务器相连,模拟设备与用户设备可通过网络数据线相连,模拟设备与用户设备通过网线同步系统环境的各项数据;其他服务器向用户设备发送电子邮件时,服务器会对发送至用户设备的电子邮件进行拦截,服务器获取电子邮件后,对电子邮件进行处理,防止因未对电子邮件进行识别,导致电子邮件中附加的恶意网络内容对用户设备造成损害。
服务器获取发送至用户设备的电子邮件,电子邮件是一种电子形式的通信方式,用于发送和接收文本、图像、文件等信息。在电子邮件中,发送者通过指定接收者的电子邮件地址,编写邮件主题、正文和附件等信息,并选择发送方式,发送方式包括普通发送、密送以及抄送等,将邮件发送至邮件服务器。接收者通过登录自己的电子邮件账户,在收件箱中查看、下载和回复邮件。在本申请中电子邮件是指接收发送者发送的电子邮件,即作为接收者的电子邮件。
服务器在获取发送给用户设备的电子邮件后,对电子邮件进行识别,此时识别是指对电子邮件中的正文或内容进行获取,并判断电子邮件中是否存在资源定位符,资源定位符(URL,Uniform Resource Locator)是用于标识和定位互联网上资源的字符串。URL是一种广泛用于互联网的标准,允许通过一个简单的文本字符串来访问网页、文件、图像、视频、应用程序和其他网络资源。
URL通常由以下几部分组成:协议(Protocol):这部分指定了访问资源的协议或规则,例如HTTP(超文本传输协议)或HTTPS(安全的HTTP)、FTP(文件传输协议)、SMTP(简单邮件传输协议)等。协议通常是URL的起始部分,后面跟着冒号和双斜杠。域名或主机名(Domain Name or Host Name):这部分指定了资源所在的主机(服务器)的域名或IP地址。端口(Port):有时,URL可以包括一个端口号,用于指定连接到主机的特定端口。默认端口通常由协议决定,例如HTTP的默认端口是80,HTTPS的默认端口是443。路径(Path):这是指定资源在服务器上的位置或目录结构。它可以包含文件夹名称、文件名、查询字符串和其他信息。查询字符串(Query String):这部分可以包含用于向服务器传递参数或请求的键值对。它通常以问号(?)开头,键值对之间使用“&”符号分隔。片段标识符(FragmentIdentifier):这部分可以用于标识资源中的特定片段或锚点,通常以井号(#)开头。URL使互联网用户能够轻松地访问各种资源,包括网页、文件、图像、API端点等。通过在浏览器或网络应用程序中输入URL,用户可以迅速定位和获取所需的资源。在本申请中可将资源定位符理解为链接,由于恶意网络内容常常通过链接进行传播,当电子邮件中存在未知链接时,若用户误点击未知链接后,未知链接会跳转到对应的网站,这个过程不光会泄露用户的个人信息,还会导致恶意网络内容对计算机进行损害。因此,识别电子邮件中的资源定位符可以帮助识别潜在风险。
S102:若电子邮件中包含资源定位符,则转发电子邮件至模拟设备,用户设备的第一系统环境与模拟设备的第二系统环境相同,用户设备的第一隐私数据的类型与模拟设备的第二隐私数据的类型相同,第一隐私数据的数值与第二隐私数据的数值不同。
在上述S102中,在确定电子邮件中包含资源定位符,则转发电子邮件值模拟设备之前,由于用户设备包括多个文件夹,多个文件夹分为预设隐私文件和非预设隐私文件,预设隐私文件是指该文件夹存储的内容涉及用户的个人信息或敏感信息,非预设隐私文件是指该文件夹存储的内容不涉及用户的个信息或敏感信息。为了保证计算机中隐私数据的安全,需用户根据实际情况对用户设备中的文件或数据进行标记,以便于服务器可根据标记将隐私数据与非隐私数据进行区分,并在后续处理过程中采取不同的处理。标记过程如下。
获取用户设备在多个文件夹中的任意一个文件夹,即目标文件夹,获取用户对目标文件夹的隐私标记,确定目标文件夹为隐私文件夹。可对隐私文件夹进行特殊的处理和保护,以增强用户对隐私数据的保密。再确定目标文件夹为隐私文件夹后,获取隐私文件夹内部存储的隐私文件,在针对目标文件夹进行隐私标记后,还针对隐私文件夹中的文件进行进一步处理和保护,有助于保护用户的个人隐私,避免敏感信息未经授权获取而使用。再通过将隐私文件的数据标记为第一隐私数据,此时第一隐私数据为用户设备中隐私文件夹对应的隐私文件数据。
获取用户设备中的第一隐私数据,由于第一隐私数据是由多个字符组成,每个字符对应使用一个二进制数值,获取第一隐私数据中的第一字符,第一字符为第一隐私数据中多个字符中的任意一个字符,将第一隐私数据中的第一字符替换为第二字符,并得到第二隐私数据,第一字符的数值与第二字符的数值不同,此时第二隐私数据为对第一隐私数据中的第一字符进行替换得到的数据。这种替换可以保护用户的隐私数据。再将第一系统环境对应的数据和第二隐私数据发送至模拟设备,而第一系统环境是指用户设备所处的运行环境,将第一系统环境的数据和第二隐私数据发送给模拟设备,是为了确保模拟设备与用户设备的系统环境相同,以便于后续先将电子邮件发送至模拟设备进行运行,保证电子邮件的安全性。
举例来说,当第一字符对应的二进制数值为1010,第二字符对应的二进制数值为1011,第一字符的数值与第二字符的数值不同,将第一隐私数据中第一字符替换为第二字符,得到第二隐私数据,第二隐私数据是对第一隐私数据中任意一个字符进行替换得到的数据,
进一步。服务器判断电子邮件中是否存在资源定位符,若电子邮件中包含资源定位符,为了对资源定位符的安全性进行验证,确保用户设备接收的电子邮件为安全邮件,服务器将电子邮件转发至模拟设备,由于模拟设备与服务器相连,模拟设备在接收到电子邮件后,模拟设备可对电子邮件进行处理。再将电子邮件发送给模拟设备时,需全部用户设备的第一系统环境与模拟设备的第二系统环境相同,此时系统环境是指用户设备与模拟设备所处的各种硬件、软件和配置条件的总称,系统环境包括操作系统、硬件平台、网络环境和其他相关软件和配置;操作系统是计算机系统的核心软件,它控制和管理计算机的各种硬件资源,并提供用户与计算机之间的接口。硬件平台包括计算机的各种硬件组件,如处理器、内存、硬盘、显卡以及网卡,不同硬件平台具有不同的性能和兼容性。网络环境包括计算机系统所连接的网络类型和网络拓扑结构,它对计算机之间的数据传输、资源共享和通信起重要的影响。软件和配置包括应用程序、驱动程序、系统设置和用户设置,决定计算机系统的功能范围。
根据用户对用户设备中隐私文件的标记,由于用户设备与模拟设备相连,获取用户对用户设备中隐私文件的删除或增加操作,模拟设备同步执行用户设备中对隐私文件的删除或增加隐私文件,并修改隐私文件中对应的隐私数据。例如,用户在用户设备中删除隐私文件11,若此时隐私文件11为第一隐私数据,将第一隐私数据中第一字符替换为第二字符,得到第二隐私数据22,将第二隐私数据发送至模拟设备中,当用户设备中删除第一隐私数据11,模拟设备同步执行用户设备的删除操作,即删除第二隐私数据22,因用户设备中第一隐私数据11在模拟设备中对应第二隐私数据22,故删除第二隐私数据22。
进一步,当用户在用户设备中增加一个隐私文件33,将隐私文件33定义为第三隐私文件,并获取第三隐私文件中的第一字符,将第三隐私文件中的第一字符替换为第二字符,得到第四隐私文件44,并将第四隐私文件44发送至模拟设备,以便于模拟设备同步执行用户设备增加标记隐私文件的操作。以上同步过程,是为了确保用户设备的第一隐私数据的类型与模拟设备的第二隐私数据的类型相同,但第一隐私数据的数值与第二隐私数据的数值不同,数值是指字符表示的二进制数值。
S103:在模拟设备下载资源定位符对应的应用程序。
在上述S103中,模拟设备在接收服务器发送的电子邮件后,模拟设备获取电子邮件中对应的资源定位符,模拟设备下载资源定位符对应的应用程序,对电子邮件中携带的资源定位符进行下载,进一步验证资源定位符对应的应用程序是否存在安全隐患。
S104:判断应用程序是否存在实施访问第一隐私数据的恶意行为。
在上述S104中,模拟设备在下载资源定位符对应的应用程序后,判断应用程序是否实施访问第一隐私数据的恶意行为,判断应用程序是否实施访问第一隐私数据的恶意行为具体包括:获取应用程序的访问记录,访问记录包括应用程序访问的文件记录;通过获取应用程序的访问记录,包括应用程序访问的文件记录,可了解应用程序对用户设备上文件进行的操作和访问情况。判断文件记录对应的数据是否为用户标记的隐私数据,确定应用程序是否实施恶意行为。通过判断文件记录对应的数据是否为用户标记的隐私数据,可确定应用程序是否接触、获取或使用来用户标记的隐私数据,可警示用户对可能涉及隐私的应用程序,以使用户更加谨慎地选择和使用应用程序,包含个人隐私。
通过判断应用程序是否实施恶意行为,可发现和识别具有潜在风险或恶意目的的应用程序,有助于防范用户设备被恶意应用程序侵害,避免个人隐私和敏感信息的泄露。在本申请中,恶意行为是指应用程序是否存在访问第一隐私数据的行为。由于此时是在模拟设备中运行应用程序,故用户设备中对应的第一隐私数据在模拟设备中对应第二隐私数据,即在模拟设备中应用程序是否存在访问第二隐私数据的行为。
S105:若应用程序存在实施恶意行为,则确定电子邮件包含恶意网络内容。
在上述S105中,若应用程序实施恶意行为,即应用程序存在访问第一隐私数据的恶意行为,则确定电子邮件中包含恶意网络内容。在确定电子邮件中包含恶意网络内容后,断开用户设备与模拟设备之间的网络连接,防止因未断开网络连接,导致电子邮件中的恶意网络内容对用户设备产生损害。在本申请中模拟设备与用户设备通过网线同步内部系统环境中文件的删除或增加操作,当用户设备执行删除文件夹的操作后,模拟设备对应执行删除文件夹的操作。
此外,当应用程序未实施恶意行为时,即应用程序不存在访问第一隐私数据的恶意行为,则确定电子邮件中不包含恶意网络内容,服务器将电子邮件发送给用户设备,以便于用户设备正常对电子邮件进行接收。
进一步,服务器在确定电子邮件中包含恶意网络内容后,通过将电子邮件中的资源定位符进行截图,得到定位符截图,此时将电子邮件中资源定位符的内容转化为图像形式,再通过删除电子邮件中资源定位符,可避免其中的资源定位符的链接被点击或访问,从而降低恶意链接的风险。再将定位符截图插入电子邮件中,定位符截图插入的位置是电子邮件中资源定位符对应的位置,即将原始电子邮件中资源定位符替换为定位符截图,进而是电子邮件中不再包含可点击或访问的链接,有助于提高电子邮件的安全性,避免用户误点击或被引导到不安全的网站。通过对资源定位符进行截图、删除和替代,可提高电子邮件的安全性,保护用户免受恶意链接的干扰,降低因点击恶意链接而导致的安全风险。
再进一步,在确定电子邮件中包含恶意网络内容后,获取恶意网络内容对应的资源定位符,将该资源定位符标记为恶意资源定位符,获取恶意资源定位符对应的应用程序,并标记应用程序为恶意资源定位符对应的恶意资源,建立恶意资源定位符与恶意资源的映射关系,并将恶意资源的程序代码进行存储,存储在预设代码数据库中。当后续重新接收电子邮件时,对电子邮件进行识别并判断,当电子邮件中包含恶意网络内容时,获取该恶意网络内容对应的程序代码,并将程序代码输入预设代码数据库中进行查询,当预设代码数据库中存在与查询代码相同的程序时,即可将程序代码标记为恶意程序代码。
通过采用上述方法,识别电子邮件中是否包含资源定位符,当电子邮件中包含资源定位符,将电子邮件转发至模拟设备进行处理,模拟设备的第二系统环境与用户设备的第一系统环境相同,模拟设备下载资源定位符对应的应用程序,若应用程序实施访问第一隐私数据的恶意行为,则确定电子邮件包含恶意网络内容,通过在模拟设备上将电子邮件中的应用程序进行运行,避免用户设备接触潜在的恶意应用程序,减少恶意网络内容对用户计算机的损害。
本申请实施例还提供了一种检测恶意网络内容的装置,图3是本申请实施例提供的一种检测恶意网络内容的装置的结构示意图,参考图3,装置包括获取单元301、处理单元302以及确认单元303。
获取单元301,对发送至用户设备的电子邮件进行识别,判断电子邮件中是否包含资源定位符。
处理单元302,若电子邮件中包含资源定位符,则转发电子邮件至模拟设备,用户设备的第一系统环境与模拟设备的第二系统环境相同,用户设备的第一隐私数据的类型与模拟设备的第二隐私数据的类型相同,第一隐私数据的数值与第二隐私数据的数值不同;在模拟设备下载资源定位符对应的应用程序;判断应用程序是否存在实施访问第一隐私数据的恶意行为。
确认单元303,若应用程序存在实施恶意行为,则确定电子邮件包含恶意网络内容。
在一种可能的实施方式中,获取单元301用于获取用户标记的第一隐私数据;处理单元302用于将第一隐私数据的第一字符替换为第二字符,得到第二隐私数据,第一字符为第一隐私数据中的多个字符中的任意一个字符,第一字符的数值与第二字符的数值不同;将第一系统环境对应的数据和第二隐私数据发送至模拟设备。
在一种可能的实施方式中,获取单元301用于获取用户对目标文件夹的隐私标记,确定目标文件夹为隐私文件夹,目标文件夹为用户设备中多个文件夹中的任意一个文件夹;获取单元301用于获取隐私文件夹内存储的隐私文件;处理单元302用于标记隐私文件的数据为第一隐私数据。
在一种可能的实施方式中,获取单元301用于获取应用程序的访问记录,访问记录包括应用程序访问的文件记录;处理单元302用于判断文件记录对应的数据是否为用户标记的隐私数据,确定应用程序是否存在实施恶意行为。
在一种可能的实施方式中,处理单元302用于对资源定位符进行截图,得到定位符截图;删除电子邮件中的资源定位符;在电子邮件中资源定位符的位置插入定位符截图,得到安全邮件。
在一种可能的实施方式中,处理单元302用于标记资源定位符为恶意资源定位符;标记应用程序为恶意资源定位符对应的恶意资源;建立恶意资源定位符与恶意资源的映射关系,并存储恶意资源的程序代码。
在一种可能的实施方式中,获取单元301用于获取用户设备对应的隐私文件;处理单元302用于在模拟设备中同步删除或增加的隐私文件,并同步修改隐私文件对应的隐私数据。
需要说明的是:上述实施例提供的装置在实现其功能时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的装置和方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本申请还公开一种电子设备。参照图4,图4为本申请实施例提供了一种电子设备的结构示意图。电子设备400可以包括:至少一个处理器401,至少一个网络接口404,用户接口403,存储器405,至少一个通信总线402。
其中,通信总线402用于实现这些组件之间的连接通信。
其中,用户接口403可以包括显示屏(Display)、摄像头(Camera),可选用户接口403还可以包括标准的有线接口、无线接口。
其中,网络接口404可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。
其中,处理器401可以包括一个或者多个处理核心。处理器401利用各种接口和线路连接整个服务器内的各个部分,通过运行或执行存储在存储器405内的指令、程序、代码集或指令集,以及调用存储在存储器405内的数据,执行服务器的各种功能和处理数据。可选的,处理器401可以采用数字信号处理(Digital Signal Processing,DSP)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编程逻辑阵列(Programmable LogicArray,PLA)中的至少一种硬件形式来实现。处理器401可集成中央处理器(CentralProcessing Unit,CPU)、图像处理器(Graphics Processing Unit,GPU)和调制解调器等中的一种或几种的组合。其中,CPU主要处理操作系统、用户界面和应用请求等;GPU用于负责显示屏所需要显示的内容的渲染和绘制;调制解调器用于处理无线通信。可以理解的是,上述调制解调器也可以不集成到处理器401中,单独通过一块芯片进行实现。
其中,存储器405可以包括随机存储器(Random Access Memory,RAM),也可以包括只读存储器(Read-Only Memory)。可选的,该存储器405包括非瞬时性计算机可读介质(non-transitory computer-readable storage medium)。存储器405可用于存储指令、程序、代码、代码集或指令集。存储器405可包括存储程序区和存储数据区,其中,存储程序区。可存储用于实现操作系统的指令、用于至少一个功能的指令(比如触控功能、声音播放功能、图像播放功能等)、用于实现上述各个方法实施例的指令等;存储数据区可存储上面各个方法实施例中涉及的数据等。存储器405可选的还可以是至少一个位于远离前述处理器401的存储装置。
如图4所示,作为一种计算机存储介质的存储器405中可以包括操作系统、网络通信模块、用户接口模块以及检测恶意网络内容的应用程序。
在图4所示的电子设备400中,用户接口403主要用于为用户提供输入的接口,获取用户输入的数据;而处理器401可以用于调用存储器405中存储检测恶意网络内容的应用程序,当由一个或多个处理器执行时,使得电子设备执行如上述实施例中一个或多个所述的方法。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必需的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所披露的装置,可通过其他的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些服务接口,装置或单元的间接耦合或通信连接,可以是电性或其他的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储器中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储器中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储器包括:U盘、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述者,仅为本公开的示例性实施例,不能以此限定本公开的范围。即但凡依本公开教导所作的等效变化与修饰,皆仍属本公开涵盖的范围内。本领域技术人员在考虑说明书及实践真理的公开后,将容易想到本公开的其他实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未记载的本技术领域中的公知常识或惯用技术手段。
Claims (10)
1.一种检测恶意网络内容的方法,其特征在于,所述方法包括:
对发送至用户设备的电子邮件进行识别,判断所述电子邮件中是否包含资源定位符;
若所述电子邮件中包含所述资源定位符,则转发所述电子邮件至模拟设备,所述用户设备的第一系统环境与所述模拟设备的第二系统环境相同,所述用户设备的第一隐私数据的类型与所述模拟设备的第二隐私数据的类型相同,所述第一隐私数据的数值与所述第二隐私数据的数值不同;
在所述模拟设备下载所述资源定位符对应的应用程序;
判断所述应用程序是否存在实施访问所述第一隐私数据的恶意行为;
若所述应用程序存在实施所述恶意行为,则确定所述电子邮件包含恶意网络内容。
2.根据权利要求1所述的方法,其特征在于,在所述若所述电子邮件中包含所述资源定位符,则转发所述电子邮件至模拟设备之前,所述方法还包括:
获取用户标记的第一隐私数据;
将所述第一隐私数据的第一字符替换为第二字符,得到第二隐私数据,所述第一字符为所述第一隐私数据中的多个字符中的任意一个字符,所述第一字符的数值与所述第二字符的数值不同;
将所述第一系统环境对应的数据和所述第二隐私数据发送至所述模拟设备。
3.根据权利要求2所述的方法,其特征在于,所述获取用户标记的第一隐私数据,具体包括:
获取所述用户对目标文件夹的隐私标记,确定所述目标文件夹为隐私文件夹,所述目标文件夹为所述用户设备中多个文件夹中的任意一个文件夹;
获取所述隐私文件夹内存储的隐私文件;
标记所述隐私文件的数据为所述第一隐私数据。
4.根据权利要求1所述的方法,其特征在于,所述判断所述应用程序是否存在实施访问所述第一隐私数据的恶意行为;具体包括:
获取所述应用程序的访问记录,所述访问记录包括所述应用程序访问的文件记录;
判断所述文件记录对应的数据是否为用户标记的隐私数据,确定所述应用程序是否存在实施所述恶意行为。
5.根据权利要求1所述的方法,其特征在于,在所述若所述应用程序存在实施所述恶意行为,则确定所述电子邮件包含恶意网络内容之后,所述方法还包括:
对所述资源定位符进行截图,得到定位符截图;
删除所述电子邮件中的资源定位符;
在所述电子邮件中所述资源定位符的位置插入所述定位符截图,得到安全邮件。
6.根据权利要求1所述的方法,其特征在于,在所述若所述应用程序存在实施所述恶意行为,则确定所述电子邮件包含恶意网络内容之后,所述方法还包括:
标记所述资源定位符为恶意资源定位符;
标记所述应用程序为所述恶意资源定位符对应的恶意资源;
建立所述恶意资源定位符与所述恶意资源的映射关系,并存储恶意资源的程序代码。
7.根据权利要求3所述的方法,其特征在于,在所述标记所述隐私文件的数据为所述第一隐私数据之前,所述方法还包括:
获取所述用户设备对应的所述隐私文件;
在所述模拟设备中同步删除或增加的隐私文件,并同步修改所述隐私文件对应的隐私数据。
8.一种检测恶意网络内容的装置,其特征在于,所述装置包括获取单元(301)、处理单元(302)以及确认单元(303);
所述获取单元(301),对发送至用户设备的电子邮件进行识别,判断所述电子邮件中是否包含资源定位符;
所述处理单元(302),若所述电子邮件中包含所述资源定位符,则转发所述电子邮件至模拟设备,所述用户设备的第一系统环境与所述模拟设备的第二系统环境相同,所述用户设备的第一隐私数据的类型与所述模拟设备的第二隐私数据的类型相同,所述第一隐私数据的数值与所述第二隐私数据的数值不同;在所述模拟设备下载所述资源定位符对应的应用程序;判断所述应用程序是否存在实施访问所述第一隐私数据的恶意行为;
所述确认单元(303),若所述应用程序存在实施所述恶意行为,则确定所述电子邮件包含恶意网络内容。
9.一种电子设备,其特征在于,包括处理器(401)、存储器(405)、用户接口(403)及网络接口(404),所述存储器(405)用于存储指令,所述用户接口(403)和所述网络接口(404)用于与其他设备通信,所述处理器(401)用于执行所述存储器(405)中存储的指令,以使所述电子设备(400)执行如权利要求1-7任意一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有指令,当所述指令被执行时,执行如权利要求1-7任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410147669.7A CN118041613A (zh) | 2024-02-02 | 2024-02-02 | 一种检测恶意网络内容的方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410147669.7A CN118041613A (zh) | 2024-02-02 | 2024-02-02 | 一种检测恶意网络内容的方法、装置及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN118041613A true CN118041613A (zh) | 2024-05-14 |
Family
ID=90999861
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410147669.7A Pending CN118041613A (zh) | 2024-02-02 | 2024-02-02 | 一种检测恶意网络内容的方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN118041613A (zh) |
-
2024
- 2024-02-02 CN CN202410147669.7A patent/CN118041613A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11489855B2 (en) | System and method of adding tags for use in detecting computer attacks | |
US10757120B1 (en) | Malicious network content detection | |
US10523609B1 (en) | Multi-vector malware detection and analysis | |
JP6553524B2 (ja) | 専用のコンピュータセキュリティサービスを利用するシステムおよび方法 | |
US9654488B2 (en) | Method and system for detecting restricted content associated with retrieved content | |
US8220050B2 (en) | Method and system for detecting restricted content associated with retrieved content | |
US9654494B2 (en) | Detecting and marking client devices | |
US8627476B1 (en) | Altering application behavior based on content provider reputation | |
JP4395178B2 (ja) | コンテンツ処理システム、方法及びプログラム | |
US8595803B2 (en) | Protection against malware on web resources utilizing scripts for content scanning | |
US20090248696A1 (en) | Method and system for detecting restricted content associated with retrieved content | |
US20120222117A1 (en) | Method and system for preventing transmission of malicious contents | |
KR20130129184A (ko) | 서버 결합된 멀웨어 방지를 위한 시스템 및 방법 | |
CN112703496B (zh) | 关于恶意浏览器插件对应用用户的基于内容策略的通知 | |
US20140283078A1 (en) | Scanning and filtering of hosted content | |
US20160134658A1 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
JP2013246474A (ja) | 中継サーバおよび代理アクセス方法 | |
JP5322288B2 (ja) | 通信処理装置、通信処理方法、及びプログラム | |
US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
US20230283632A1 (en) | Detecting malicious url redirection chains | |
JP5682181B2 (ja) | 通信制御機能を有する通信装置、方法、プログラム | |
CN118041613A (zh) | 一种检测恶意网络内容的方法、装置及电子设备 | |
KR101959534B1 (ko) | 전자메일 보안 시스템 및 그 방법 | |
JP6900328B2 (ja) | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム | |
JP5456636B2 (ja) | ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |