WO2019141091A1

WO2019141091A1 - 一种邮件的监控方法、系统与装置

Info

Publication number: WO2019141091A1
Application number: PCT/CN2019/070302
Authority: WO
Inventors: 陈磊华; 潘庆峰; 李晓文
Original assignee: 论客科技（广州）有限公司
Priority date: 2018-01-19
Filing date: 2019-01-03
Publication date: 2019-07-25
Also published as: CN108337153A; ZA202004846B; CN108337153B

Abstract

本发明公开了一种邮件的监控方法、系统与装置，所述方法包括获取新邮件携带的附件；对所述附件采用哈希算法进行计算，获得所述附件的哈希特征；将所述附件的哈希特征输入预设的过滤模型，获得所述附件为恶意软件的预测值；当所述预测值大于设定的阈值时，将所述附件发送到预设的沙箱工具；通过所述预设的沙箱工具识别所述附件；当所述附件识别为恶意软件时，对所述附件添加恶意软件标记并拒收所述新邮件；当所述附件识别为可疑软件时，对所述附件添加可疑软件标记并生成携带所述新邮件的警告邮件。通过上述邮件的监控方法能够快速以及准确识别邮件携带的附件是否为恶意软件，并及时过滤携带恶意软件的邮件，保证邮件接收端的安全。

Description

一种邮件的监控方法、系统与装置

技术领域

本发明涉及信息安全技术领域，具体涉及一种邮件的监控方法、系统与装置。

背景技术

随着电子邮件的广泛使用，其安全隐患也逐渐显现，在利益的驱使下，黑客为了扩展其僵尸网络，通常使用电子邮件传播恶意代码、发送垃圾邮件。邮件接收者通常防不胜防，被动的沦为垃圾邮件的目标、潜在的恶意代码受害者。黑客通常通过控制僵尸网络发送垃圾邮件，发送邮件的内容会随着当前的热点事件而变化，恶意链接会随着近期出现的漏洞而构造，导致邮件服务器对于垃圾邮件、恶意邮件的过滤一直都没有很好的措施。

专利号为CN201110442195.1公开了一种用于检测未知恶意软件的系统和方法，该方法包括为已知恶意的和干净的对象生成基因；使用不同的恶意软件分析方法分析对象基因；基于对已知恶意对象的基因的分析来计算通过恶意软件分析方法的一个或组合对恶意对象的成功检测水平；基于对已知干净对象的基因的分析来计算通过恶意软件分析方法的一个或组合对干净对象的误报检测水平；以成功检测水平和误报检测水平的函数来衡量恶意分析方法的每一个或组合的有效性；以及选择最有效的恶意软件分析方法的一个或组合来分析未知对象是否存在恶意软件。但是，上述方法存在如下缺陷:由于很多反病毒系统对新出现的恶意软件的反应有一个时间差，导致等反病毒系统能检测出邮件附件带有恶意软件的时候，很多邮件都已经投递进入了用户的邮箱了，反病毒软件对邮件系统中出现的最新的未知样本反应速度过慢。其次由于当前的反病毒软件都不是为邮件系统查毒设计的，缺少了一些用于判定邮件附件是否恶意软件的信息，恶意软件的检测效果差。

发明内容

本发明的目的是提供一种邮件的监控方法、系统与装置，能够快速以及准确识别邮件携带的附件是否为恶意软件，并及时过滤携带恶意软件的邮件，保证邮件接收端的安全。

为解决以上技术问题，本发明实施例提供一种邮件的监控方法，包括：

获取新邮件携带的附件；

对所述附件采用哈希算法进行计算，获得所述附件的哈希特征；

将所述附件的哈希特征输入预设的过滤模型，获得所述附件为恶意软件的预测值；

当所述预测值大于设定的阈值时，将所述附件发送到预设的沙箱工具；

通过所述预设的沙箱工具识别所述附件；

当所述附件识别为恶意软件时，对所述附件添加恶意软件标记并拒收所述新邮件；

当所述附件识别为可疑软件时，对所述附件添加可疑软件标记并生成携带所述新邮件的警告邮件以使得收信人通过所述警告邮件打开所述新邮件。

优选地，所述当所述附件识别为可疑软件时，对所述附件添加可疑软件标记并生成携带所述新邮件的警告邮件以使得收信人通过所述警告邮件打开所述新邮件，具体包括：

当所述附件识别为可疑软件时，将所述附件发送预设的杀毒工具；

通过所述预设的杀毒工具再次识别所述附件；

当所述附件判定为可疑软件时，维持所述附件的可疑软件标记并生成携带所述新邮件的警告邮件以使得收信人通过所述警告邮件打开所述新邮件；

当所述附件判定为恶意软件时，将所述附件的可疑软件标记更新为恶意软件标记。

优选地，所述邮件的监控方法还包括：

扫描预设的样本文件，提取所述预设的样本文件的文件特征；其中所述预设的样本文件包括标记为恶意软件的样本文件以及标记为可疑软件的样本文件；

将所述文件特征输入SVM分类器进行特征训练，构建所述预设的过滤模型。

优选地，所述通过所述预设的沙箱工具识别所述附件，具体包括：

当所述预设的沙箱工具虚拟打开所述附件后，检测所述附件是否对所述沙箱工具产生恶意行为；其中，所述恶意行为包括所述沙箱工具的重要目录中增加文件、所述沙箱工具的重要文件以及配置被修改以及进程被注入外部逻辑；

当所述附件对所述沙箱工具产生恶意行为时，所述附件识别为恶意软件；

当所述附件对所述沙箱工具没有产生恶意行为时，所述附件识别为可疑软件。

优选地，所述当所述附件判定为恶意软件时，将所述附件的可疑软件标记更新为恶意软件标记，具体包括：

当所述附件判定为恶意软件时，检测发信人与所述收信人的紧密关系；

当所述发信人与所述收信人的相互发信数量大于预设的紧密阈值时，维持所述附件的可疑软件标记；

当所述发信人与所述收信人的相互发信数量不大于所述预设的紧密阈值时，将所述附件的可疑软件标记更新为恶意软件标记。

优选地，所述对所述附件采用哈希算法进行计算，获得所述附件的哈希特征，具体包括：

识别所述附件的文件格式；

当所述附件为可执行文件或动态链接库文件时，获取所述附件的汇编代码并构造汇编代码序列，对所述汇编代码序列采用哈希算法进行计算，获得所述附件的哈希特征；

当所述附件为脚本文件时，提取所述附件的token，对所述附件的token采用哈希算法进行计算，获得所述附件的哈希特征；

当所述附件为pdf文件或Office文件时，获取所述附件的树状结构，提取所述附件的树状结构对应的节点路径，对所述节点路径采用哈希算法进行计算，获得所述附件的哈希特征。

优选地，所述当所述附件为可执行文件或动态链接库文件时，获取所述附件的汇编代码并构造汇编代码序列，对所述汇编代码序列采用哈希算法进行计算，获得所述附件的哈希特征，具体包括：

当所述附件为可执行文件或动态链接库文件时，获取所述附件的汇编代码；

将所述附件的三个相邻的所述汇编代码合并生成所述汇编代码序列；

对所述汇编代码序列采用哈希算法进行计算，获得所述附件的哈希特征。

优选地，所述当所述附件为pdf文件或Office文件时，获取所述附件的树状结构，提取所述附件的树状结构对应的节点路径，对所述节点路径采用哈希算法进行计算，获得所述附件的哈希特征，具体包括：

当所述附件为pdf文件或Office文件时，对所述附件进行文本拆分处理，得到多个文本数据块；

根据所述文本数据块，构造所述附件的树状结构；

提取所述附件的树状结构从根节点到任意一个叶子节点的节点路径；

对所述节点路径采用哈希算法进行计算，获得所述附件的哈希特征。

本发明实施还提供一种邮件的监控系统，包括：

邮件附件获取模块，用于获取新邮件携带的附件；

哈希特征计算模块，用于对所述附件采用哈希算法进行计算，获得所述附件的哈希特征；

附件预测模块，用于将所述附件的哈希特征输入预设的过滤模型，获得所述附件为恶意软件的预测值；

附件发送模块，用于当所述预测值大于设定的阈值时，将所述附件发送到预设的沙箱工具；

沙箱检测模块，用于通过所述预设的沙箱工具识别所述附件；

邮件拒收模块，用于当所述附件识别为恶意软件时，对所述附件添加恶意软件标记并拒收所述新邮件；

邮件警告模块，用于当所述附件识别为可疑软件时，对所述附件添加可疑软件标记并生成携带所述新邮件的警告邮件以使得收信人通过所述警告邮件打开所述新邮件。

本发明实施例还提供一种邮件的监控装置，包括处理器，存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序，所述处理器执行所述计算机程序时，实现上述的邮件的监控方法。

相对于现有技术，本发明实施例提供的一种邮件的监控方法的有益效果在于：所述邮件的监控方法包括获取新邮件携带的附件；对所述附件采用哈希算法进行计算，获得所述附件的哈希特征；将所述附件的哈希特征输入预设的过滤模型，获得所述附件为恶意软件的预测值；当所述预测值大于设定的阈值时，将所述附件发送到预设的沙箱工具；通过所述预设的沙箱工具识别所述附件；当所述附件识别为恶意软件时，对所述附件添加恶意软件标记并拒收所述新邮件；当所述附件识别为可疑软件时，对所述附件添加可疑软件标记并生成携带所述新邮件的警告邮件以使得收信人通过所述警告邮件打开所述新邮件。通过上述邮件的监控方法能够快速以及准确识别邮件携带的附件是否为恶意软件，并及时过滤携带恶意软件的邮件，保证邮件接收端的安全。本发明实施例还提供一种邮件的监控系统与装置。

附图说明

图1是本发明实施例提供的一种邮件的监控方法的流程图；

图2是本发明实施例提供的一种邮件的监控系统的示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，其是本发明实施例提供的一种邮件的监控方法的流程图，所述邮件的监控方法包括：

S100：获取新邮件携带的附件；

S200：对所述附件采用哈希算法进行计算，获得所述附件的哈希特征；

S300：将所述附件的哈希特征输入预设的过滤模型，获得所述附件为恶意软件的预测值；

S400：当所述预测值大于设定的阈值时，将所述附件发送到预设的沙箱工具；

S500：通过所述预设的沙箱工具识别所述附件；

S600：当所述附件识别为恶意软件时，对所述附件添加恶意软件标记并拒收所述新邮件；

S700：当所述附件识别为可疑软件时，对所述附件添加可疑软件标记并生成携带所述新邮件的警告邮件以使得收信人通过所述警告邮件打开所述新邮件。

通过所述过滤模型对所述附件是否为恶意软件的可能性进行预测，得到预测值，然后所述沙箱工具对所述预测值大于设定的阈值的所述附件进行恶意软件识别，通过上述方法能够快速以及准确识别邮件携带的附件是否为恶意软件，并及时过滤携带恶意软件的邮件，保证邮件接收端的安全。

在一种可选的实施例中，S700：当所述附件识别为可疑软件时，对所述附件添加可疑软件标记并生成携带所述新邮件的警告邮件以使得收信人通过所述警告邮件打开所述新邮件，具体包括：

通过所述预设的杀毒工具再次识别所述附件；

在本实施中，所述预设的杀毒工具可以是预先部署在所述收信人的邮箱的第三方杀毒软件。所述杀毒工具将通过沙箱工具标记为“可疑软件”的附件再次进行检查，所述杀毒工具判定是恶意软件的，将附件的标记更新为“恶意软件”，否则保持标记为“可疑软件”。通过所述杀毒工具对所述附件进行再次检查，可以提高所述附件识别为恶意软件的准确性，降低误判的可能性。

在一种可选的实施例中，所述邮件的监控方法还包括：

在本实施例中，所述预设的样本文件通过邮件系统的通讯关系低成本的自动获得。例如，对于两个有大量沟通关系的邮箱，其互相之间发送的附件会标记为“比较可信”，这些“比较可信”的样本文件，会通过沙箱工具执行一遍，排除一些可能有问题的附件之后，标记为“可疑软件”样本。而那些之前没有过通讯关系，则会通过沙箱工具执行一遍，如果有任何可疑行为的(修改系统重要文件，注入某些执行逻辑等)，则会将样本文件标记为“恶意软件”。

将通过上述方法得到的大量标记好的样本文件的文件特征输入SVM分类器进行特征训练(机器学习训练分类模型办法)，训练出所述过滤模型。对于邮件系统遇到的每个附件，都是用所述过滤模型做一次初步判定，如果所述过滤模型判定为可疑软件，则再使用所述沙箱工具检查所述附件，判定是恶意软件的附件则拒收，判定是可疑软件的附件则可以提示收信人附件是可疑软件，让收信人警惕，减少收信人系统被恶意软件感染的几率。

在一种可选的实施例中，所述通过所述预设的沙箱工具识别所述附件，具体包括：

在一种可选的实施例中，所述当所述附件判定为恶意软件时，将所述附件的可疑软件标记更新为恶意软件标记，具体包括：

在本实施例中，对所述沙箱工具判定为可疑软件的附件，所述杀毒软件检查发现，发信人和收信人具有紧密沟通关系，即所述发信人与所述收信人的相互发信数量大于预设的紧密阈值，例如：互相发信数量大于10(10是经验值),则将所述附件标记维持为“可疑软件”。发信人和收信人不具有紧密沟通关系，即所述发信人与所述收信人的相互发信数量小于预设的紧密阈值，例如：互相发信数量小于10(10是经验值),设置互相发信数量为0，则将所述附件标记更新为“恶意软件”。通过对收发信人的紧密沟通关系，可以有效得出来及发信人邮件的附件为恶意软件的几率，例如两个邮箱之间如果经常互相沟通的，则这两个邮箱之间互发的附件为恶意软件的几率比较小；如果同一个(或者内容相似)的附件，在某个时间段之内，都是由之前没有过任何通讯关系的邮箱发往另外一个邮箱的，这个附件为恶意软件的几率比较大。

在一种可选的实施例中，所述对所述附件采用哈希算法进行计算，获得所述附件的哈希特征，具体包括：

识别所述附件的文件格式；

在本实施例中，例如所述附件为vbs脚本文件Set objShell＝wscript.CreateObject(“Wscript.Shell”)，则根据vbs语法，一个一个的提取所述附件的token,并计算所述附件的哈希特征为md5(Set)md5(objShell)md5(wscript.CreateObject(“Wscript.Shell”))。

在一种可选的实施例中，所述当所述附件为可执行文件或动态链接库文件时，获取所述附件的汇编代码并构造汇编代码序列，对所述汇编代码序列采用哈希算法进行计算，获得所述附件的哈希特征，具体包括：

在本实施例中，例如一个可执行文件，扫描所述可执行文件的汇编代码，并将相邻的三个汇编代码合并成一个生成汇编代码序列，共计生成汇编代码序列A,B,C,D,E，并计算所述汇编代码序列的哈希特征，则对应的哈希特征为md5(A+B+C)md5(B+C+D)md5(C+D+E)。

在一种可选的实施例中，所述当所述附件为pdf文件或Office文件时，获取所述附件的树状结构，提取所述附件的树状结构对应的节点路径，对所述节点路径采用哈希算法进行计算，获得所述附件的哈希特征，具体包括：

根据所述文本数据块，构造所述附件的树状结构；

在本实施中，例如一个pdf文件，对该pdf文本进行文本拆分处理，并构造下述的树状结构A+B+C+D+E(pdf文件的根是A,A下层有B,C,E三个子节点，C下层有D子节点)，对所述节点路径采用哈希算法进行计算，得到该pdf文件的哈希特征为md5(A+B)md5(A+C+D)md5(A+E)。

请参阅图2，其是本发明实施提供的一种邮件的监控系统的示意图，所述邮件的监控系统包括：

邮件附件获取模块1，用于获取新邮件携带的附件；

哈希特征计算模块2，用于对所述附件采用哈希算法进行计算，获得所述附件的哈希特征；

附件预测模块3，用于将所述附件的哈希特征输入预设的过滤模型，获得所述附件为恶意软件的预测值；

附件发送模块4，用于当所述预测值大于设定的阈值时，将所述附件发送到预设的沙箱工具；

沙箱检测模块5，用于通过所述预设的沙箱工具识别所述附件；

邮件拒收模块6，用于当所述附件识别为恶意软件时，对所述附件添加恶意软件标记并拒收所述新邮件；

邮件警告模块7，用于当所述附件识别为可疑软件时，对所述附件添加可疑软件标记并生成携带所述新邮件的警告邮件以使得收信人通过所述警告邮件打开所述新邮件。

在一种可选的实施例中，所述邮件警告模块包括附件发送单元、识别单元：

所述附件发送单元，用于当所述附件识别为可疑软件时，将所述附件发送预设的杀毒工具；

所述识别单元，用于通过所述预设的杀毒工具再次识别所述附件；

所述识别单元，还用于当所述附件判定为可疑软件时，维持所述附件的可疑软件标记并生成携带所述新邮件的警告邮件以使得收信人通过所述警告邮件打开所述新邮件；

所述识别单元，还用于当所述附件判定为恶意软件时，将所述附件的可疑软件标记更新为恶意软件标记。

在一种可选的实施例中，所述邮件的监控系统还包括样本标记模块、机器学习模块；

所述样本标记模块，用于扫描预设的样本文件，提取所述预设的样本文件的文件特征；其中所述预设的样本文件包括标记为恶意软件的样本文件以及标记为可疑软件的样本文件；

所述机器学习模块，用于将所述文件特征输入SVM分类器进行特征训练，构建所述预设的过滤模型。

在一种可选的实施例中，所述沙箱检测模块包括行为检测单元；

所述行为检测单元，用于当所述预设的沙箱工具虚拟打开所述附件后，检测所述附件是否对所述沙箱工具产生恶意行为；其中，所述恶意行为包括所述沙箱工具的重要目录中增加文件、所述沙箱工具的重要文件以及配置被修改以及进程被注入外部逻辑；

当所述附件对所述沙箱工具产生恶意行为时，所述行为检测单元用于将所述附件识别为恶意软件；

当所述附件对所述沙箱工具没有产生恶意行为时，所述行为检测单元用于将所述附件识别为可疑软件。

在一种可选的实施例中，所述沙箱检测模块包括紧密关系检测单元；

所述紧密关系检测单元，用于当所述附件判定为恶意软件时，检测发信人与所述收信人的紧密关系；

当所述发信人与所述收信人的相互发信数量大于预设的紧密阈值时，所述紧密关系检测单元，用于维持所述附件的可疑软件标记；

当所述发信人与所述收信人的相互发信数量不大于所述预设的紧密阈值时，所述紧密关系检测单元，用于将所述附件的可疑软件标记更新为恶意软件标记。

在一种可选的实施例中，所述哈希特征计算模块包括文件格式识别单元、汇编代码哈希特征计算单元、令牌哈希特征计算单元、节点路径哈希特征计算单元；

所述文件格式识别单元，用于识别所述附件的文件格式；

所述汇编代码哈希特征计算单元，用于当所述附件为可执行文件或动态链接库文件时，获取所述附件的汇编代码并构造汇编代码序列，对所述汇编代码序列采用哈希算法进行计算，获得所述附件的哈希特征；

所述令牌哈希特征计算单元，用于当所述附件为脚本文件时，提取所述附件的token，对所述附件的token采用哈希算法进行计算，获得所述附件的哈希特征；

所述节点路径哈希特征计算单元，用于当所述附件为pdf文件或Office文件时，获取所述附件的树状结构，提取所述附件的树状结构对应的节点路径，对所述节点路径采用哈希算法进行计算，获得所述附件的哈希特征。

在一种可选的实施例中，所述汇编代码哈希特征计算单元包括汇编代码获取单元、汇编代码序列生成单元、第一哈希特征计算单元；

所述汇编代码获取单元，用于当所述附件为可执行文件或动态链接库文件时，获取所述附件的汇编代码；

所述汇编代码序列生成单元，用于将所述附件的三个相邻的所述汇编代码合并生成所述汇编代码序列；

所述第一哈希特征计算单元，用于对所述汇编代码序列采用哈希算法进行计算，获得所述附件的哈希特征。

在本实施例中，例如一个可执行文件，扫描所述可执行文件的汇编代码，并将相邻的三个汇编代码合并成一个生成汇编代码序列，共计生成汇编代码序列A,B,C,D,E，并计算所述汇编代码序列的哈希特征，则对应的哈希特征为 md5(A+B+C)md5(B+C+D)md5(C+D+E)。

在一种可选的实施例中，所述节点路径哈希特征计算单元包括文本拆分单元、树状结构构造单元、节点路径提取单元、第二哈希特征计算单元；

所述文本拆分单元，用于当所述附件为pdf文件或Office文件时，对所述附件进行文本拆分处理，得到多个文本数据块；

所述树状结构构造单元，用于根据所述文本数据块，构造所述附件的树状结构；

所述节点路径提取单元，用于提取所述附件的树状结构从根节点到任意一个叶子节点的节点路径；

所述第二哈希特征计算单元，用于对所述节点路径采用哈希算法进行计算，获得所述附件的哈希特征。

示例性的，所述计算机程序可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器中，并由所述处理器执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序在所述邮件的监控装置中的执行过程。例如，所述计算机程序可以被分割成邮件附件获取模块，用于获取新邮件携带的附件；哈希特征计算模块，用于对所述附件采用哈希算法进行计算，获得所述附件的哈希特征；附件预测模块，用于将所述附件的哈希特征输入预设的过滤模型，获得所述附件为恶意软件的预测值；附件发送模块，用于当所述预测值大于设定的阈值时，将所述附件发送到预设的沙箱工具；沙箱检测模块，用于通过所述预设的沙箱工具识别所述附件；邮件拒收模块，用于当所述附件识别为恶意软件时，对所述附件添加恶意软件标记并拒收所述新邮件；邮件警告模块，用于当所述附件识别为可疑软件时，对所述附件添加可疑软件标记并生成携带所述新邮件的警告邮件以使得收信人通过所述警告邮件打开所述新邮件。

所述邮件的监控装置可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述邮件的监控装置可包括，但不仅限于，处理器、存储器。本领域技术人员可以理解，所述示意图2仅仅是邮件的监控装置的示例，并不构成对所述邮件的监控装置的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述邮件的监控装置还可以包括输入输出设备、网络接入设备、总线等。

所称处理器可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理器是所述邮件的监控装置的控制中心，利用各种接口和线路连接整个邮件的监控装置的各个部分。

所述存储器可用于存储所述计算机程序和/或模块，所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现所述邮件的监控装置的各种功能。所述存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

其中，所述邮件的监控装置集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

相对于现有技术，本发明实施例提供的一种邮件的监控方法的有益效果在于：所述邮件的监控方法包括获取新邮件携带的附件；对所述附件采用哈希算法进行计算，获得所述附件的哈希特征；将所述附件的哈希特征输入预设的过滤模型，获得所述附件为恶意软件的预测值；当所述预测值大于设定的阈值时，将所述附件发送到预设的沙箱工具；通过所述预设的沙箱工具识别所述附件；当所述附件识别为恶意软件时，对所述附件添加恶意软件标记并拒收所述新邮件；当所述附件识别为可疑软件时，对所述附件添加可疑软件标记并生成携带所述新邮件的警告邮件以使得收信人通过所述警告邮件打开所述新邮件。通过上述邮件的监控方法能够快速以及准确识别邮件携带的附件是否为恶意软件，并及时过滤携带恶意软件的邮件，保证邮件接收端的安全。本发明实施例还提供一种邮件的监控装置与系统

以上是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。

Claims

一种邮件的监控方法，其特征在于，包括：

获取新邮件携带的附件；

对所述附件采用哈希算法进行计算，获得所述附件的哈希特征；

将所述附件的哈希特征输入预设的过滤模型，获得所述附件为恶意软件的预测值；

当所述预测值大于设定的阈值时，将所述附件发送到预设的沙箱工具；

通过所述预设的沙箱工具识别所述附件；

当所述附件识别为恶意软件时，对所述附件添加恶意软件标记并拒收所述新邮件；

当所述附件识别为可疑软件时，对所述附件添加可疑软件标记并生成携带所述新邮件的警告邮件以使得收信人通过所述警告邮件打开所述新邮件。
如权利要求1所述的邮件的监控方法，其特征在于，所述当所述附件识别为可疑软件时，对所述附件添加可疑软件标记并生成携带所述新邮件的警告邮件以使得收信人通过所述警告邮件打开所述新邮件，具体包括：

当所述附件识别为可疑软件时，将所述附件发送预设的杀毒工具；

通过所述预设的杀毒工具再次识别所述附件；

当所述附件判定为可疑软件时，维持所述附件的可疑软件标记并生成携带所述新邮件的警告邮件以使得收信人通过所述警告邮件打开所述新邮件；

当所述附件判定为恶意软件时，将所述附件的可疑软件标记更新为恶意软件标记。
如权利要求1所述的邮件的监控方法，其特征在于，所述邮件的监控方法还包括：

扫描预设的样本文件，提取所述预设的样本文件的文件特征；其中所述预设的样本文件包括标记为恶意软件的样本文件以及标记为可疑软件的样本文件；

将所述文件特征输入SVM分类器进行特征训练，构建所述预设的过滤模型。
如权利要求1所述的邮件的监控方法，其特征在于，所述通过所述预设的沙箱工具识别所述附件，具体包括：

当所述预设的沙箱工具虚拟打开所述附件后，检测所述附件是否对所述沙箱工具产生恶意行为；其中，所述恶意行为包括所述沙箱工具的重要目录中增加文件、所述沙箱工具的重要文件以及配置被修改以及进程被注入外部逻辑；

当所述附件对所述沙箱工具产生恶意行为时，所述附件识别为恶意软件；

当所述附件对所述沙箱工具没有产生恶意行为时，所述附件识别为可疑软件。
如权利要求2所述的邮件的监控方法，其特征在于，所述当所述附件判定为恶意软件时，将所述附件的可疑软件标记更新为恶意软件标记，具体包括：

当所述附件判定为恶意软件时，检测发信人与所述收信人的紧密关系；

当所述发信人与所述收信人的相互发信数量大于预设的紧密阈值时，维持所述附件的可疑软件标记；

当所述发信人与所述收信人的相互发信数量不大于所述预设的紧密阈值时，将所述附件的可疑软件标记更新为恶意软件标记。
如权利要求1所述的邮件的监控方法，其特征在于，所述对所述附件采用哈希算法进行计算，获得所述附件的哈希特征，具体包括：

识别所述附件的文件格式；

当所述附件为可执行文件或动态链接库文件时，获取所述附件的汇编代码并构造汇编代码序列，对所述汇编代码序列采用哈希算法进行计算，获得所述附件的哈希特征；

当所述附件为脚本文件时，提取所述附件的token，对所述附件的token采用哈希算法进行计算，获得所述附件的哈希特征；

当所述附件为pdf文件或Office文件时，获取所述附件的树状结构，提取所述附件的树状结构对应的节点路径，对所述节点路径采用哈希算法进行计算，获得所述附件的哈希特征。
如权利要求6所述的邮件的监控方法，其特征在于，所述当所述附件为可执行文件或动态链接库文件时，获取所述附件的汇编代码并构造汇编代码序列，对所述汇编代码序列采用哈希算法进行计算，获得所述附件的哈希特征，具体包括：

当所述附件为可执行文件或动态链接库文件时，获取所述附件的汇编代码；

将所述附件的三个相邻的所述汇编代码合并生成所述汇编代码序列；

对所述汇编代码序列采用哈希算法进行计算，获得所述附件的哈希特征。
如权利要求6所述的邮件的监控方法，其特征在于，所述当所述附件为pdf文件或Office文件时，获取所述附件的树状结构，提取所述附件的树状结构对应的节点路径，对所述节点路径采用哈希算法进行计算，获得所述附件的哈希特征，具体包括：

当所述附件为pdf文件或Office文件时，对所述附件进行文本拆分处理，得到多个文本数据块；

根据所述文本数据块，构造所述附件的树状结构；

提取所述附件的树状结构从根节点到任意一个叶子节点的节点路径；

对所述节点路径采用哈希算法进行计算，获得所述附件的哈希特征。
一种邮件的监控系统，其特征在于，包括：

邮件附件获取模块，用于获取新邮件携带的附件；

哈希特征计算模块，用于对所述附件采用哈希算法进行计算，获得所述附件的哈希特征；

附件预测模块，用于将所述附件的哈希特征输入预设的过滤模型，获得所述附件为恶意软件的预测值；

附件发送模块，用于当所述预测值大于设定的阈值时，将所述附件发送到预设的沙箱工具；

沙箱检测模块，用于通过所述预设的沙箱工具识别所述附件；

邮件拒收模块，用于当所述附件识别为恶意软件时，对所述附件添加恶意软件标记并拒收所述新邮件；

邮件警告模块，用于当所述附件识别为可疑软件时，对所述附件添加可疑软件标记并生成携带所述新邮件的警告邮件以使得收信人通过所述警告邮件打开所述新邮件。
一种邮件的监控装置，其特征在于，包括处理器，存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序，所述处理器执行所述计算机程序时，实现如权利要求1至8所述的邮件的监控方法。