电子邮件的风险检测方法及系统与流程

1.本发明涉及网络安全技术领域，具体涉及一种电子邮件的风险检测方法及系统。


背景技术：

2.计算机病毒是编制者在计算机程序中插入的破坏计算机功能或者数据的恶意程序（代码），能影响计算机使用并在网络中传播，是当前网络攻击的主要方式之一。常见的攻击场景，是攻击者将计算机病毒植入到一些视频、文件或邮件中，一旦用户点击了相应被植入恶意程序的视频、文件或邮件，用户的终端就会被植入该计算机病毒，从而导致该用户的终端中毒或者信息被窃取、篡改。
3.随着网络攻击手段和渠道的多元化，网络威胁正在迅速恶性演变。以勒索病毒为例，勒索病毒是近年来增长迅速且危害巨大的网络安全威胁之一，攻击者通过诱导用户点击植入勒索病毒的链接对象，向用户电脑或服务器植入勒索病毒来加密硬盘上的文档或整个硬盘数据，随后向用户索要赎金后才予以解密。其中，邮件是勒索病毒入侵的重灾区，攻击者向用户发送邮件后，诱导用户运行邮件中的附件来触发勒索病毒，通过勒索病毒加密用户本地终端上的文件，进而使用解密密码勒索赎金获取收益。
4.目前，现有技术中一般会针对电子邮件进行安全过滤以进行安全防范，对收到的电子邮件，甄别垃圾邮件、钓鱼邮件、病毒邮件等风险邮件，阻止安全威胁。目前，甄别风险邮件的方法大致分为三种：一种是基于黑白名单检测机制的检测方法，第二种是利用防病毒邮件网关的检测方法，第三种是设置附件沙箱提供隔离环境以运行附件文件，分析附件文件运行过程中的动态行为的检测方法。然而，用户终端在甄别风险邮件不可避免会占用该用户终端的存储器资源和处理器资源，尤其对于手机等移动终端，在移动终端的存储器存储能力和数据处理能力有限时，会影响用户正常使用。另一方面，随着勒索病毒、定向威胁攻击等新型攻击的发展，给传统的检测方法带来了巨大的挑战，如何更好的发现和应对这些新型威胁也是当前亟需解决的问题。
5.综上所述，如何提供一种对用户所在终端的终端资源占用小、适用性广的电子邮件的风险检测方法是当前亟需解决的技术问题。


技术实现要素：

6.本发明的目的是提供一种电子邮件的风险检测方法及系统。本发明能够在用户通过第一终端登录电子邮箱时触发关联安全终端登录同一邮箱账户，然后通过前述关联安全终端对目标邮件中的邮件内容进行安全风险检测，并在邮件内容中包含安全风险信息时在第一终端中设置安全风险警示信息。本发明提供的技术方案，对用户所在终端的终端资源占用小，可以用于各种类型的安全风险检测。
7.为实现上述目标，本发明提供了如下技术方案：一种电子邮件的风险检测方法，包括如下步骤：采集用户在第一终端上登录电子邮箱的登录操作，对应所第一终端设置有关联安
全终端；获取登录成功的邮箱登录验证信息，将所述邮箱登录验证信息发送给前述关联安全终端，关联安全终端使用前述邮箱登录验证信息进行同一邮箱账户的登录；监测用户在第一终端上查看电子邮箱中的邮件的操作信息，获取用户期望打开的目标邮件信息后，通过前述关联安全终端打开前述目标邮件；通过关联安全终端对目标邮件中的邮件内容进行安全风险检测，当判定邮件内容中包含安全风险信息时，在第一终端中设置该目标件的安全风险警示信息。
8.进一步，所述邮箱登录验证信息包括登录的邮箱账户名、邮箱密码和邮箱类型标识信息，关联安全终端使用前述邮箱登录验证信息进行同一邮箱账户的登录的步骤为：关联安全终端根据前述邮箱类型标识调用对应的电子邮箱服务程序，通过该电子邮箱服务程序向对应的电子邮件服务器发送登录请求信息，所述登录请求信息包括前述邮箱账户名和邮箱密码；电子邮件服务器接收前述登录请求信息，验证前述邮箱账户名和邮箱密码通过后，发送登录验证通过消息到前述关联安全终端，关联安全终端登录对应的邮箱账户。
9.进一步，通过对前述第一终端的显示视窗进行录屏操作来监测用户查看电子邮箱中的邮件的操作信息，此时，获取用户期望打开的目标邮件信息的步骤为：启动录屏程序，通过录屏程序定时或实时对第一终端的显示视窗进行图像扫描，获取扫描图像；对扫描图像进行图像识别以识别图像中的邮件列表显示区域和鼠标指针显示区域；判断前述鼠标指针是否位于邮件列表显示区域中；判定位于邮件列表显示区域时，获取鼠标指针所在的当前邮件作为目标邮件，对目标邮件的列表显示信息进行识别以获取目标邮件的发件人信息、主题信息和时间信息。
10.进一步，通过对前述第一终端的显示视窗上的鼠标指针的移动进行监听操作来监测用户查看电子邮箱中的邮件的操作信息，此时，获取用户期望打开的目标邮件信息的步骤为：根据用户移动鼠标的操作生成鼠标移动事件，获取鼠标移动后的窗口坐标位置作为鼠标当前位置；根据前述电子邮箱的窗口显示内容信息，获取电子邮箱窗口中的各触发项在电子邮箱窗口中的显示位置信息；遍历所有触发项，判断前述鼠标当前位置是否位于对应邮件的触发项的显示位置中；判定位于对应邮件的触发项的显示位置时，将该触发项对应的邮件作为目标邮件，获取目标邮件的发件人信息、主题信息和时间信息。
11.进一步，通过对前述第一终端的显示视窗上的鼠标指针形状的进行监听操作来监测用户查看电子邮箱中的邮件的操作信息，此时，获取用户期望打开的目标邮件信息的步骤为：通过图像采集装置对第一终端的显示视窗进行图像采集；对采集的图像进行图像识别，判断图像中的鼠标指针呈现的形状是否发生改变；
判定鼠标指针呈现的形状由默认形状变为指示链接的形状时，获取鼠标指针所在的当前邮件作为目标邮件，对目标邮件的列表显示信息进行识别以获取目标邮件的发件人信息、主题信息和时间信息。
12.进一步，对目标邮件中的邮件内容进行安全风险检测的步骤为：检测所述目标邮件是否包含附件；在包含附件时，将所述附件传递到沙箱中，所述沙箱为运行中的程序提供隔离环境；在所述沙箱中运行所述附件，并监测所述附件在运行过程中产生的动态参数，判断所述动态参数中是否包含对文件进行加密或篡改的操作行为；在包含对文件进行加密或篡改的操作行为时，判定邮件内容中包含安全风险信息。
13.进一步，设置安全风险警示信息的方式为，在第一终端中，对应着前述目标邮件输出危险提醒标识，所述危险提醒标识为文字提醒、颜色提醒、图片提醒、声音提醒和/或动画提醒。
14.进一步，设置安全风险警示信息的方式为在第一终端中对所述目标邮件设置禁止打开权限，采用如下方式之一：方式一，关联安全终端在判定目标邮件中包含安全风险信息时，向对应的电子邮件服务器发送针对目标邮件的禁止打开请求信息，所述禁止打开请求信息中包括前述目标邮件的安全风险证据信息；电子邮件服务器获取前述禁止打开请求信息后，对前述安全风险证据信息进行审核，在审核通过时，对前述目标邮件设置禁止打开权限；方式二，对第一终端当前显示的邮箱显示界面进行截屏，将前述截屏获得的截图作为覆盖前述邮箱显示界面的遮挡图片，通过前述遮挡图片，使得用户无法对目标邮件进行打开操作。
15.进一步，对应所述禁止打开权限设置有用户反馈信息采集栏，通过所述用户反馈信息采集栏采集用户对前述禁止打开权限的反馈信息，根据前述反馈信息判断用户是否需要解除前述禁止打开权限；判定需要解除前述禁止打开权限时，对所述目标邮件设置隔离沙箱后，在第一终端中恢复前述目标邮件的打开权限，所述隔离沙箱能够为运行中的程序提供隔离环境；以及，采集用户在第一终端中对目标邮件中的可运行文件的触发操作，将前述可运行文件传递到前述隔离沙箱中运行。
16.本发明还提供了一种电子邮件的风险检测系统，包括：邮件服务器，以及设置有关联关系的第一终端和第二终端；所述第一终端，用于采集用户登录电子邮箱的登录操作，并在登录成功后输出邮箱显示界面；所述邮件服务器，用于根据前述登录操作，获取登录成功的邮箱登录验证信息，并将所述邮箱登录验证信息发送给前述第二终端；所述第二终端，用于使用前述邮箱登录验证信息进行同一邮箱账户的登录，并在登录成功后输出邮箱显示界面；所述邮件服务器还被配置为：监测用户在第一终端上查看电子邮箱中的邮件的操
作信息，获取用户期望打开的目标邮件信息后，控制前述第二终端打开前述目标邮件，并对目标邮件中的邮件内容进行安全风险检测，当判定邮件内容中包含安全风险信息时，在第一终端中设置该目标邮件的安全风险警示信息。
17.本发明由于采用以上技术方案，与现有技术相比，作为举例，具有以下的优点和积极效果：本发明能够在用户通过第一终端登录电子邮箱时触发关联安全终端登录同一邮箱账户，然后通过前述关联安全终端对目标邮件中的邮件内容进行安全风险检测，并在邮件内容中包含安全风险信息时在第一终端中设置安全风险警示信息。本发明提供的技术方案，对用户所在终端的终端资源占用小，可以用于各种类型的安全风险检测。
附图说明
18.图1为本发明实施例提供的电子邮件的风险检测方法的流程图。
19.图2为本发明实施例提供的邮件列表的显示界面示例图。
20.图3为本发明实施例提供的鼠标指针位于目标邮件上的界面示例图。
21.图4是本发明实施例提供的系统的结构示意图。附图标记说明：
22.附图标记说明：电子邮件主界面100，邮件列表110，鼠标指针120，目标邮件130。
具体实施方式
23.以下结合附图和具体实施例对本发明公开的电子邮件的风险检测方法及系统作进一步详细说明。应当注意的是，下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的，它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中，各附图所出现的相同标号代表相同的特征或者部件，可应用于不同实施例中。因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
24.需说明的是，本说明书所附图中所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定发明可实施的限定条件，任何结构的修饰、比例关系的改变或大小的调整，在不影响发明所能产生的功效及所能达成的目的下，均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现，其中可以不按所述的或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。
25.对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
实施例
26.参见图1所示，为本发明实施例提供的一种电子邮件的风险检测方法。所述方法包括如下步骤：
s100，采集用户在第一终端上登录电子邮箱的登录操作，对应所述第一终端设置有关联安全终端。
27.所述第一终端，优选为便携式终端，比如比较本电脑、上网本、平板电脑等。第一终端与关联安全终端的关联关系，优选的由用户设置。做举例而非限制，比如用户可以将自己的手机或笔记本作为第一终端，将自己的台式电脑或购买的服务器主机作为关联安全终端。
28.s200，获取登录成功的邮箱登录验证信息，将所述邮箱登录验证信息发送给前述关联安全终端，关联安全终端使用前述邮箱登录验证信息进行同一邮箱账户的登录。
29.本实施例中，所述邮箱登录验证信息具体可以包括登录的邮箱账户名、邮箱密码和邮箱类型标识信息。此时，关联安全终端使用前述邮箱登录验证信息进行同一邮箱账户的登录的步骤为：关联安全终端根据前述邮箱类型标识调用对应的电子邮箱服务程序，通过该电子邮箱服务程序向对应的电子邮件服务器发送登录请求信息，所述登录请求信息包括前述邮箱账户名和邮箱密码；电子邮件服务器接收前述登录请求信息，验证前述邮箱账户名和邮箱密码通过后，发送登录验证通过消息到前述关联安全终端，关联安全终端登录对应的邮箱账户。
30.优选的，在将邮箱登录验证信息发送给前述关联安全终端之前，还可以包括步骤：通过预设的加密算法对前述邮箱登录验证信息进行加密；在关联安全终端接收所述邮箱登录验证信息后，通过对应的解密算法对前述加密的邮箱登录验证信息进行解密以获取邮箱账户名、邮箱密码和邮箱类型标识信息。
31.如此，通过加密可以防止在信息发送过程中造成泄密。加密信息的方式，可以基于现有的对称加密算法或非对称加密算法。
32.优选的，为进一步提高加密数据的安全性，采用多重加密和解密步骤，具体如下：首先，通过aes对称加密算法加密邮箱登录验证信息后获得第一加密数据，再通过rsa非对称加密前述第一加密数据获得第二加密数据，将所述第二加密数据存储在预设的存储路径中。所述第二加密数据包括签名数据信息，所述签名数据信息包括文件头、待执行代码和签名信息，所述文件头中存储有数据的长度和数据对文件头的偏移，所述签名信息包括rsa公钥和数据哈希值的密文。通过efuse存储器存储aes私钥（即aes算法的128位加解密用的密钥）和rsa公钥的哈希值（即rsa算法公钥的哈希值）。
33.随后，将前述第二加密数据发送给关联安全终端。所述关联安全终端接收第二加密数据后，可以通过rsa非对称解密前述第二加密数据以进行鉴权。在鉴权时，首先根据文件头中数据的偏移和长度，定位至签名信息，签名信息中包括rsa公钥和数据哈希值；然后，利用sha算法计算签名信息中的rsa公钥的哈希值获得第二哈希值，并将该第二哈希值与预先存储在efuse存储器中的rsa公钥哈希值进行比对，判断二者是否相同；判定第一哈希值和第二哈希值相同的情况下，再使用签名信息中的rsa公钥及密文解签出数据的哈希值作为第三哈希值，并将该第三哈希值与前述第二哈希值进行比对，如果二者相同，判定数据可信，签权通过；否则判定数据经过修改，鉴权失败。
34.然后，在前述鉴权通过后，进行aes解密以获取邮箱登录验证信息。
35.作为举例而非限制，比如用户的笔记本终端为第一终端，用户使用第一终端登录
网易邮箱，具体的，用户可以先启动第一终端中安装的该网易邮箱客户端，然后输入用户的邮箱账户名和对应密码后，该网易邮箱客户端根据邮箱账户名和密码向网易邮件服务器发起登录，网易邮件服务器验证邮箱登陆请求通过时，发送验证通过消息到第一终端，第一终端根据所述验证通过消息进行邮件业务处理。同时，邮件服务器根据前述登录操作，获取登录成功的邮箱登录验证信息，并将所述邮箱登录验证信息发送给用户的台式电脑（即预设的关联安全终端），台式电脑通过前述邮箱账户名、密码和邮箱业务标识发起登录。具体的登录可以如下：台式电脑根据邮箱账户名、密码向邮件服务器发起前述业务的第二登录请求；邮件服务器验证所述第二登陆请求通过时，发送验证通过消息到台式电脑，台式电脑根据所述验证通过消息进行业务处理。
36.s300，监测用户在第一终端上查看电子邮箱中的邮件的操作信息，获取用户期望打开的目标邮件信息后，通过前述关联安全终端打开前述目标邮件。
37.此时，第一终端和关联安全终端登录了同一个邮箱账户。监测用户在第一终端上查看电子邮箱中的邮件的操作信息，从而获取用户期望打开的目标邮件信息。
38.在一个实施方式中，是通过对前述第一终端的显示视窗进行录屏操作，来监测用户查看电子邮箱中的邮件的操作信息。
39.具体的，获取用户期望打开的目标邮件信息的步骤可以如下：启动录屏程序，通过录屏程序定时或实时对第一终端的显示视窗进行图像扫描，获取扫描图像；对扫描图像进行图像识别以识别图像中的邮件列表显示区域和鼠标指针显示区域；判断前述鼠标指针是否位于邮件列表显示区域中；判定位于邮件列表显示区域时，获取鼠标指针所在的当前邮件作为目标邮件，对目标邮件的列表显示信息进行识别以获取目标邮件的发件人信息、主题信息和时间信息。
40.由于对于各终端设备来说，其所显示的内容一般是终端操作系统将当前应用窗口进行管理并绘制在内存 buffer( 缓冲 ) 中，然后通过驱动中间件将该内存buffer 中的内容通过相应的传输介质 ( 比如 av 线、hdmi 线或vga 线等 ) 传输到显示屏上进行显示，因而，可以通过终端监听终端内存 buffer 中的根据系统应用窗口所绘制的内容（包括内容的具体信息和内容显示位置，内容信息与内容显示位置对应设置，即在窗口的什么位置显示什么内容）。也就是说，通过触发项显示位置可以获取触发项对应的显示内容，如此，可以基于邮件的触发项的显示位置来获取对应的邮件相关信息。在获取了鼠标指针与邮件触发项的位置关系后，比如鼠标指针的位置位于某个邮件的触发项位置上（用户想要查看目标邮件时，会先将鼠标光标移到目标邮件所在区域上），就可以判定该邮件为用户期望打开的目标邮件，就可以根据前述触发项的位置获取该位置的显示内容，从而获取目标邮件的发件人信息、主题信息和时间信息等邮件基本内容。
41.所述的触发项，是指页面中的一个可操作选项，具体可以是一个点击按钮（表现为控件），或者一个点击区域。
42.本实施例中，获取鼠标移动后的窗口坐标位置的步骤可以为：外部输入设备接收鼠标移动事件，将鼠标移动事件输入到输入系统（input system）；输入系统（input system）将前述鼠标移动事件作为输入事件发送到窗口管理器（window manager）；窗口管理器接收鼠标移动事件后，根据鼠标移动事件确定鼠标移动后的窗口坐标位置。
43.在另一个实施方式中，是通过对前述第一终端的显示视窗上的鼠标指针的移动进
行监听操作，来监测用户查看电子邮箱中的邮件的操作信息。
44.具体的，获取用户期望打开的目标邮件信息的步骤可以如下：根据用户移动鼠标的操作生成鼠标移动事件，获取鼠标移动后的窗口坐标位置作为鼠标当前位置；根据前述电子邮箱的窗口显示内容信息，获取电子邮箱窗口中的各触发项在电子邮箱窗口中的显示位置信息；遍历所有触发项，判断前述鼠标当前位置是否位于对应邮件的触发项的显示位置中；判定位于对应邮件的触发项的显示位置时，将该触发项对应的邮件作为目标邮件，获取目标邮件的发件人信息、主题信息和时间信息。
45.该实施方式中，监听鼠标移动的方式，可以通过调用鼠标钩子函数来监控鼠标移动，属于现有技术，在此不再赘述。
46.在另一个实施方式中，是通过对前述第一终端的显示视窗上的鼠标指针形状的进行监听操作，来监测用户查看电子邮箱中的邮件的操作信息。
47.具体的，获取用户期望打开的目标邮件信息的步骤可以如下：通过图像采集装置对第一终端的显示视窗进行图像采集；对采集的图像进行图像识别，判断图像中的鼠标指针呈现的形状是否发生改变；判定鼠标指针呈现的形状由默认形状变为指示链接的形状时——比如从默认的箭头变成了小手状态，获取鼠标指针所在的当前邮件作为目标邮件，对目标邮件的列表显示信息进行识别以获取目标邮件的发件人信息、主题信息和时间信息。
48.结合图2和图3详细描述该实施方式。
49.现有技术中，鼠标指针在不同的状态下可以配置有不同的形状。作为典型方式的举例，比如鼠标在等待状态通常为默认形状——一般是图2所示的箭头形状。当鼠标指针移到具有链接的触发项（比如邮件列表110中的某个邮件所在行）后，由于邮件所在行具有邮件链接，鼠标指针120呈现的形状由前述默认的箭头形状变为指示链接的形状——比如图3中的小手形状。也就是说，通过监控显示视窗上的鼠标指针形状的改变，可以监测用户查看电子邮箱中的邮件的操作信息。具体的，参见图3所示，比如监测到鼠标指针变为小手形状时，就可以获取鼠标指针所在的当前邮件（在邮件列表中显示为邮件行）作为目标邮件130。然后，可以通过图像识别技术对目标邮件的列表显示信息进行识别以获取目标邮件的发件人信息、主题信息和时间信息等邮件基本内容。
50.在获取用户期望打开但还未打开的前述目标邮件信息后，可以通过前述关联安全终端打开前述目标邮件。
51.s400，通过关联安全终端对目标邮件中的邮件内容进行安全风险检测，当判定邮件内容中包含安全风险信息时，在第一终端中设置该目标邮件的安全风险警示信息。
52.如此，实现对接收邮件的风险预判。
53.本实施例中，优选的，对目标邮件中的邮件内容进行安全风险检测的步骤可以如下：检测所述目标邮件是否包含附件；在包含附件时，将所述附件传递到沙箱中，所述沙箱为运行中的程序提供隔离环境；在所述沙箱中运行所述附件，并监测所述附件在运行过程中产生的动态参数，判断所述动态参数中是否包含对文件进行加密或篡改的操作行为；在包含对文件进行加密或篡改的操作行为时，判定邮件内容中包含安全风险信息。
54.具体的，设置安全风险警示信息的方式可以如下：在第一终端中，对应着前述目标邮件输出危险提醒标识，所述危险提醒标识为文字提醒、颜色提醒、图片提醒、声音提醒和/
或动画提醒。
55.优选的，对于具有安全风险的目标邮件的附件，在沙箱中运行该附件时，监测所述附件在运行过程中产生的动态参数并将监测过程和/或监测结果形成图像数据后，将该图像数据显示到邮件列表中的前述目标邮件所在行。
56.本实施例中，还可以通过在第一终端中对所述目标邮件设置禁止打开权限，来设置安全风险警示信息。
57.具体的，在一个实施方式中，当关联安全终端在判定目标邮件中包含安全风险信息时，可以向对应的电子邮件服务器发送针对目标邮件的禁止打开请求信息，所述禁止打开请求信息中包括前述目标邮件的安全风险证据信息。电子邮件服务器获取前述禁止打开请求信息后，对前述安全风险证据信息进行审核，在审核通过时，对前述目标邮件设置禁止打开权限。
58.所述的禁止打开权限，比如设置打开密码，使得用户输入密码才能打开风险邮件，在用户不知晓密码的情况下就无法打开，从而实现禁止打开。或者，设置打开时间，用户在指定的打开时间范围内才能打开风险邮件。可选的，在设置打开时间时，可以将所述打开时间设置为当前时间之后的较长一段时间，比如100年之后，使得该用户无法打开风险邮件。
59.在另一个实施方式中，还可以对第一终端当前显示的邮箱显示界面进行截屏，将前述截屏获得的截图作为覆盖前述邮箱显示界面的遮挡图片，通过前述遮挡图片，使得用户无法对目标邮件进行打开操作。
60.优选的，对应所述遮挡图片设置有批注信息栏，用于采集用户在前述批注信息栏输入的信息，将前述信息作为批注信息对应着遮挡图片显示。如此，使得用户可以通过前述批注信息栏对该目标邮件进行相关信息的批注，作为举例，比如批注邮件具体的风险内容、风险类型等。
61.本实施例中，进一步，对应所述禁止打开权限设置有用户反馈信息采集栏，通过所述用户反馈信息采集栏采集用户对前述禁止打开权限的反馈信息，根据前述反馈信息判断用户是否需要解除前述禁止打开权限；判定需要解除前述禁止打开权限时，对所述目标邮件设置隔离沙箱后，在第一终端中恢复前述目标邮件的打开权限，所述隔离沙箱能够为运行中的程序提供隔离环境。
62.然后，采集用户在第一终端中对目标邮件中的可运行文件的触发操作，将前述可运行文件传递到前述隔离沙箱中运行。
63.优选的，获取前述可运行文件在隔离沙箱中的运行信息，将前述运行信息生成图像后，对应前述目标邮件的内容显示区域进行显示。所述图像优选为动画图像，通过动画图像显示运行过程和运行结果。
64.本实施例中，对于附件信息的提取，首先需先检测待检测邮件中是否包括附件。具体实施时可以通过检测邮件的attachment(附件)字段是否为空来判断，若attachment字段为空，则判定不包含附件；若attachment字段不为空，则判定包含附件。
65.本技术实施例中的沙箱可以通过如下方式配置：第一种方式可采用常规虚拟机(virtual machine，vm)、虚拟盒virtualbox等搭建windows沙箱。
66.第二种方式还可自行构建单一功能的类windows操作系统作为沙箱，可支持
office程序启动，并支持文件行为和网络行为操作和记录，该中沙箱配置方法可最大化提升沙箱对病毒行为的检测。
67.以勒索病毒为例，文件操作行为监控模块可以通过如下几种方式监控文件行为：1、通过windows日志，如sysmon的文件记录日志监控附件运行时的程序对文件的操作行为。该操作行为可以包括打开、修改和加密等一系列操作行为。
68.2.文件过滤驱动程序记录程序触碰文件的行为。文件系统过滤驱动可以过滤一个或多个文件系统，或文件系统卷的i/o操作。按不同的种类划分，文件系统过滤驱动可以分为日志记录、系统监测、数据修改和事件预防几类，通常，以文件系统过滤驱动为核心的应用程序有文件加解密、病毒防护、进程控制、文件访问、事后审计和信息安全方面的应用。文件过滤驱动程序会记录附件的程序运行时对文件的操作行为，该操作行为可以包括打开、修改和加密等一系列操作行为。
69.3、将所述附件的程序注入到用于监测的目标程序中，所述目标程序包括与操作文件关联的接口；通过监测所述附件的程序对所述接口的使用信息，监测所述附件的程序运行时对文件的操作行为。
70.本实施例中，还可以说设置有防病毒好友群，在关联安全终端对目标邮件中的邮件内容进行安全风险检测时，在判定邮件内容中不包含安全风险信息时，将该邮件内容发送到防病毒好友群进行再次风险评鉴。以及，获取评鉴结果后，当再次评鉴结果为包含安全风险信息时，在第一终端中设置该目标邮件的安全风险警示信息。
71.具体的，可以获取前述目标邮件所在邮箱的关联联系人设置信息；根据前述关联联系人设置信息判断该邮箱是否已设有防病毒好友群；在判定存在防病毒好友群时，将邮件内容发送至防病毒好友群中进行评鉴；在判定不存在防病毒好友群时，获取预设的防病毒关联联系人的即时通信账号信息，并基于前述防病毒关联联系人触发建立防病毒好友群后，再将前述邮件内容发送至防病毒好友群中进行评鉴。
72.所述防病毒好友群和防病毒关联联系人都是基于即时通信工具设置的，可以通过获取关联联系人——通常是用户自己——的即时通信账号信息来获取关联联系人对应的防病毒好友群和防病毒关联联系人信息。关联联系人的即时通信账号信息，可以通过用户在电子邮箱中的主动设置获得——比如用户在电子邮箱中设置了该邮箱的关联联系人信息，包括该关联联系人的即时通信账号。获取了关联联系人的即时通信账号信息后，就可以根据前述即时通信账号信息判断该邮箱是否已设有防病毒好友群。所述防病毒关联联系人信息是预先设置好的，可以由用户设置，也可以由系统设置。本实施例中，优选的，所述防病毒关联联系人是有系统自动设置的，系统在设置防病毒关联联系人是基于用户备注的工种或职业信息进行选择的。
73.参见图4所示，为本发明的另一实施例，提供了一种电子邮件的风险检测系统。
74.所述系统包括邮件服务器，以及设置有关联关系的第一终端和第二终端。
75.所述第一终端，用于采集用户登录电子邮箱的登录操作，并在登录成功后输出邮箱显示界面。
76.所述邮件服务器，用于根据前述登录操作，获取登录成功的邮箱登录验证信息，并将所述邮箱登录验证信息发送给前述第二终端。
77.所述第二终端，作为第一终端的关联安全终端，用于使用前述邮箱登录验证信息
进行同一邮箱账户的登录，并在登录成功后输出邮箱显示界面。
78.所述邮件服务器还被配置为：监测用户在第一终端上查看电子邮箱中的邮件的操作信息，获取用户期望打开的目标邮件信息后，控制前述第二终端打开前述目标邮件，并对目标邮件中的邮件内容进行安全风险检测，当判定邮件内容中包含安全风险信息时，在第一终端中设置该目标邮件的安全风险警示信息。
79.本实施例中，所述邮箱登录验证信息包括登录的邮箱账户名、邮箱密码和邮箱类型标识信息。此时，关联安全终端使用前述邮箱登录验证信息进行同一邮箱账户的登录的步骤为：关联安全终端根据前述邮箱类型标识调用对应的电子邮箱服务程序，通过该电子邮箱服务程序向对应的电子邮件服务器发送登录请求信息，所述登录请求信息包括前述邮箱账户名和邮箱密码；电子邮件服务器接收前述登录请求信息，验证前述邮箱账户名和邮箱密码通过后，发送登录验证通过消息到前述关联安全终端，关联安全终端登录对应的邮箱账户。
80.本实施例中，设置安全风险警示信息的方式可以为：在第一终端中，对应着前述目标邮件输出危险提醒标识，所述危险提醒标识为文字提醒、颜色提醒、图片提醒、声音提醒和/或动画提醒。
81.优选的，还可以设置安全风险警示信息的方式为在第一终端中对所述目标邮件设置禁止打开权限。
82.具体的，当关联安全终端在判定目标邮件中包含安全风险信息时，向对应的电子邮件服务器发送针对目标邮件的禁止打开请求信息，所述禁止打开请求信息中包括前述目标邮件的安全风险证据信息；电子邮件服务器获取前述禁止打开请求信息后，对前述安全风险证据信息进行审核，在审核通过时，对前述目标邮件设置禁止打开权限。
83.或者，对第一终端当前显示的邮箱显示界面进行截屏，将前述截屏获得的截图作为覆盖前述邮箱显示界面的遮挡图片，通过前述遮挡图片，使得用户无法对目标邮件进行打开操作。
84.优选的，对应所述禁止打开权限设置有用户反馈信息采集栏，通过所述用户反馈信息采集栏采集用户对前述禁止打开权限的反馈信息，根据前述反馈信息判断用户是否需要解除前述禁止打开权限；判定需要解除前述禁止打开权限时，对所述目标邮件设置隔离沙箱后，在第一终端中恢复前述目标邮件的打开权限，所述隔离沙箱能够为运行中的程序提供隔离环境。
85.以及，采集用户在第一终端中对目标邮件中的可运行文件的触发操作，将前述可运行文件传递到前述隔离沙箱中运行。
86.其它技术特征参考在前实施例，在此不再赘述。
87.在上面的描述中，本发明的公开内容并不旨在将其自身限于这些方面。而是，在本公开内容的目标保护范围内，各组件可以以任意数目选择性地且操作性地进行合并。另外，像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的，而不是排他性的或封闭性，除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义，除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释，除非本公开内容明确将其限定成那样。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰，均属于权利
要求书的保护范围。