本发明涉及通信
技术领域:
:,特别涉及一种浏览电子邮件的方法及用户终端。
背景技术:
::apt(advancedpersistentthreat,高级持续性威胁)攻击因其具有难检测、持续时间长和攻击目标明确等特征,近年来已作为一种高级攻击手段出现在公众视野中,如极光攻击、震网攻击和夜龙攻击等均为apt攻击。apt攻击是以电子邮件等方式向用户发送使用0day(0day的内涵为“即时性”)漏洞的恶意附件,一旦用户打开该恶意附件,0day漏洞就会被触发,攻击代码注入到用户系统,并进行后续下载其他病毒、木马等操作以利长期潜伏作业,而传统防火墙和企业反病毒软件等对此类无特征签名的恶意附件或代码的检测和防护能力非常有限。目前,对于apt攻击的防御通常先采用静态引擎分析和动态引擎分析结合的方法判定接收的电子邮件是否为恶意电子邮件,当一封电子邮件被判定为恶意电子邮件时,为了避免用户实际办公环境遭到破坏,企业的安全设备一般会直接在邮件服务器处拦截掉此封恶意电子邮件,或者提醒用户此封邮件是恶意的,此时,认为被判定的恶意电子邮件的附件是恶意附件。但是,这种方法在判定接收的电子邮件是否为恶意电子邮件时,存在误报的问题,可能会造成正常的电子邮件由于误报原因被拦截,这样用户就无法接收并查看该邮件,而当用户需要对被判定为恶意电子邮件的恶意附件进行浏览时,存在造成用户的实际办公环境遭受攻击的风险。可见,在实际办公环境中,存在无法安全地对恶意电子邮件的恶意附件进行浏览的问题。技术实现要素:本发明实施例的目的在于提供一种浏览电子邮件的方法及终端,解决在实际办公环境中,存在无法安全地对恶意电子邮件的恶意附件进行浏览的问题。为了达到上述目的,本发明实施例提供一种浏览电子邮件的方法,包括:获取恶意电子邮件的恶意附件;将所述恶意附件发送至沙箱,以使所述沙箱生成打开所述恶意附件的沙箱进程;接收所述沙箱返回的所述沙箱进程的地址信息,并使用所述地址信息在所述沙箱进程中远程浏览所述恶意附件。本发明还提供一种浏览电子邮件的用户终端,包括:获取模块,用于获取恶意电子邮件的恶意附件;发送模块,用于将所述恶意附件发送至沙箱,以使所述沙箱生成打开所述恶意附件的沙箱进程;远程浏览模块,用于接收所述沙箱返回的所述沙箱进程的地址信息,并使用所述地址信息在所述沙箱进程中远程浏览所述恶意附件。本发明实施例还提供一种计算机存储介质,所述计算机存储介质中存储有计算机可执行的一个或多个程序,所述一个或多个程序被所述计算机执行时使所述计算机执行如上述提供的一种浏览电子邮件的方法。上述技术方案中的一个技术方案具有如下优点或有益效果:通过获取恶意电子邮件的恶意附件;将所述恶意附件发送至沙箱,以使所述沙箱生成打开所述恶意附件的沙箱进程;接收所述沙箱返回的所述沙箱进程的地址信息,并使用所述地址信息在所述沙箱进程中远程浏览所述恶意附件。这样在实际办公环境中,通过远程浏览被送入沙箱中打开的恶意电子邮件的恶意附件,能够实现安全地对恶意电子邮件的恶意附件进行浏览。附图说明图1为本发明实施例提供的一种浏览电子邮件的方法的流程示意图;图2为本发明实施例提供的另一种浏览电子邮件的方法的流程示意图;图3为本发明实施例提供的另一种浏览电子邮件的方法的流程示意图;图4为本发明实施例提供的另一种浏览电子邮件的方法的流程示意图;图5为本发明实施例中第一应用场景的邮件服务器对恶意电子邮件的提取、存储和通信的流程示意图;图6为本发明实施例中第一应用场景的实现浏览电子邮件的流程示意图;图7为本发明实施例中第二应用场景的邮件服务器对恶意电子邮件的提取、存储和通信的流程示意图;图8为本发明实施例中第二应用场景的实现浏览电子邮件的流程示意图;图9为本发明实施例提供的一种用户终端的结构示意图;图10是本发明实施例提供的另一种用户终端的结构示意图;图11是本发明实施例提供的另一种用户终端的结构示意图;图12是本发明实施例提供的另一种用户终端的结构示意图。具体实施方式为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。如图1所示,本发明实施例提供一种浏览电子邮件的方法的流程示意图,包括以下步骤:步骤s101、获取恶意电子邮件的恶意附件;本发明实施例中,邮件服务器在接收到电子邮件时,其安全设备会判定电子邮件是否为恶意电子邮件,当判定该电子邮件为恶意电子邮件时,会将该恶意电子邮件进行拦截或者在该恶意电子邮件上添加恶意标记,以避免用户在不知道存在风险的情况下打开该恶意电子邮件。上述获取恶意电子邮件的恶意附件,可以理解为:用户终端接收用户输入的被拦截的恶意电子邮件的邮件标记,或者用户对添加恶意标记的恶意电子邮件的打开操作获取的该邮件的邮件标记,并发送该邮件标记至邮件服务器,以请求邮件服务器发送与邮件标记对应的恶意附件至用户终端。其中,恶意电子邮件的恶意附件和其邮件标记对应关联存储于邮件服务器中。步骤s102、将所述恶意附件发送至沙箱,以使所述沙箱生成打开所述恶意附件的沙箱进程。本发明实施例中,用户终端在接收到恶意附件后,会将该恶意附件发送给沙箱,通过沙箱技术在沙箱中生成新的沙箱进程,并在该沙箱进程中打开恶意文件。其中,在沙箱进程中打开该恶意文件时,沙箱进程所打开的恶意文件会被虚拟化重定向,也就是说对恶意文件的打开操作是虚拟的,真实的恶意文件不会被改动,这样可以确保恶意文件打开后下载的病毒无法改动破坏系统。步骤s103、接收所述沙箱返回的所述沙箱进程的地址信息,并使用所述地址信息在所述沙箱进程中远程浏览所述恶意附件。本发明实施例中,恶意附件在沙箱进程内打开后,沙箱会发送地址信息至用户终端,用户终端在接收沙箱返回的地址信息时,可以使用该地址信息与沙箱建立远程连接,用户通过与沙箱建立远程连接的用户终端,浏览在沙箱进程内打开的恶意附件,从而能够安全地浏览被邮件服务器的安全设备判定的恶意电子邮件。其中,上述地址信息可以为沙箱进程的协议信息或端口信息或者协议信息和端口信息的组合,当然,也可以为其他能用于建立用户终端和沙箱的远程连接的信息,在此不作限定。本发明实施例中,上述用户终端可以为任何具备浏览电子邮件的终端设备,例如:台式电脑、笔记本电脑、掌上电脑、手机、平板电脑(tabletpersonalcomputer)、膝上型电脑(laptopcomputer)、个人数字助理(personaldigitalassistant,简称pda)、移动上网装置(mobileinternetdevice,mid)或可穿戴式设备(wearabledevice)等。本发明实施例中,通过获取恶意电子邮件的恶意附件;将所述恶意附件发送至沙箱,以使所述沙箱生成打开所述恶意附件的沙箱进程;接收所述沙箱返回的所述沙箱进程的地址信息,并使用所述地址信息在所述沙箱进程中远程浏览所述恶意附件。这样在实际办公环境中,通过远程浏览被送入沙箱中打开的恶意电子邮件的恶意附件,能够实现安全地对恶意电子邮件的恶意附件进行浏览。如图2所示,本发明实施例提供一种浏览电子邮件的方法的流程示意图,包括以下步骤:步骤s201、获取恶意电子邮件的恶意附件;本发明实施例中,用户终端接收用户输入的被拦截的恶意电子邮件的邮件标记,或者用户对添加恶意标记的恶意电子邮件的打开操作获取的该邮件的邮件标记,并发送该邮件标记至邮件服务器,以请求邮件服务器发送与邮件标记对应的恶意附件至用户终端。其中,恶意电子邮件的恶意附件和其邮件标记对应关联存储于邮件服务器中。上述恶意附件可以为包括文本类、网页类以及图片类等中任一形式的附件;上述邮件标记可以为恶意电子邮件的恶意附件存储于邮件服务器中的序列号,也可以为其他识别该邮件的信息。步骤s202、将所述恶意附件发送至沙箱,以使所述沙箱生成打开所述恶意附件的沙箱进程;本发明实施例中,用户终端在接收到恶意附件后,会将该恶意附件发送给沙箱,通过沙箱技术在沙箱中生成新的沙箱进程,并在该沙箱进程中打开恶意文件。其中,上述沙箱可以是任何沙箱。本发明实施例中,可以采用轻量级沙箱。轻量级沙箱能够在一定程度上节省计算资源。步骤s203、接收所述沙箱返回的所述沙箱进程的协议信息和端口信息,并使用所述协议信息和所述端口信息在所述沙箱进程中远程浏览所述恶意附件。本发明实施例中,恶意附件在沙箱进程内打开后,沙箱会发送其协议信息和端口信息至用户终端,用户终端在接收沙箱返回的协议信息和端口信息时,可以使用该协议信息和端口信息与沙箱建立远程连接,用户通过与沙箱建立远程连接的用户终端,浏览在沙箱进程内打开的恶意附件,从而能够安全地浏览被邮件服务器的安全设备判定的恶意电子邮件。可选的,上述步骤s201,可以包括:获取所述恶意电子邮件的恶意附件和邮件标识;上述步骤202,可以包括:所述将所述恶意附件和所述邮件标识发送至沙箱,以使所述沙箱生成打开所述恶意附件的沙箱进程,并将所述邮件标识与所述沙箱进程进行关联;上述步骤s203之后,还可以包括:发送所述邮件标识和结束请求至所述沙箱,以使所述沙箱响应所述结束请求,销毁与所述邮件标识关联的沙箱进程。本发明实施例中,用户终端可以由用户输入或者用户恶意打开电子邮件时获取恶意电子邮件的邮件标识,并将该邮件标识发送至邮件服务器中,请求邮件服务器将与该邮件标识关联的恶意附件发送至用户终端,用户终端再将获取的邮件标识和恶意附件发送至沙箱内,沙箱会生成打开该恶意附件的沙箱进程,并且将沙箱进程的协议信息与该邮件标识进行关联并记录与关联表中,当用户终端接收到用户完成浏览的操作时,发送与浏览的恶意附件对应的邮件标识和结束请求至沙箱,沙箱响应该结束请求,查询关联表中与邮件标识对应的协议信息,并将拥有该协议信息的沙箱进程销毁,从而避免沙箱的资源浪费。可选的,如图3所示,上述步骤s201之前,还可以包括:步骤s204、接收所述邮件服务器发送的已拦截所述恶意电子邮件的提醒消息,其中,所述提醒消息包括所述恶意电子邮件的邮件标识,且所述恶意电子邮件的邮件标识与所述恶意电子邮件的恶意附件关联并存储于所述邮件服务器中;则上述步骤s201,可以包括:根据接收到的用户输入的所述邮件标识,从所述邮件服务器中调取与所述邮件标识关联的所述恶意附件。本发明实施例中,邮件服务器在其安全设备判定电子邮件件为恶意电子邮件后,对该恶意电子邮件进行拦截,并还原该恶意电子邮件的流量,以提取恶意电子邮件中的恶意附件以及对应的邮件标识。再通过建立关联表将该恶意附件和邮件标识进行关联,将该恶意文件存储与邮件服务器中。邮件服务器在建立邮件标记和恶意附件的关联后,会发送提醒消息至用户终端,且该提醒消息中包括被拦截的恶意电子邮件的邮件标识。用户终端接收到邮件服务器发送的提醒消息后,提醒用户并告知用户被拦截的恶意电子邮件的邮件标识。当用户需要对某一被拦截的恶意电子邮件的恶意附件进行浏览时,可以通过用户终端输入该恶意电子邮件的邮件标识,用户终端根据接收到的用户输入的邮件标识,请求邮件服务器发送与该邮件标识关联的恶意附件,邮件服务器响应用户终端的请求,通过上述关联表查询与该邮件标识关联的恶意电子邮件并发送至用户终端。可选的,如图4所示,上述步骤s201之前,还可以包括:步骤s205、接收所述邮件服务器发送的被添加恶意标记的恶意电子邮件,其中,所述恶意电子邮件包括邮件标记和恶意附件,且所述邮件标记和所述恶意附件关联并存储于所述邮件服务器中。步骤s206、根据接收到的用户对所述恶意电子邮件的打开操作,发送所述邮件标记至所述邮件服务器。则上述步骤s201,可以包括:接收所述邮件服务器返回与所述邮件标记关联的所述恶意附件。本发明实施例中,邮件服务器在其安全设备判定电子邮件件为恶意电子邮件后,对该恶意电子邮件进行拦截,并还原该恶意电子邮件的流量,以提取恶意电子邮件中的恶意附件以及对应的邮件标识。再通过建立关联表将该恶意附件和邮件标识进行关联,将该恶意文件存储与邮件服务器中。邮件服务器在建立邮件标记和恶意附件的关联后,会将该恶意电子邮件添加恶意标记后发送至用户终端。其中,该恶意标记为告知用户该邮件为恶意电子邮件的标记。用户终端接收到添加有恶意标记的恶意电子邮件后,会实时通知用户已接收到该恶意电子邮件,若用户需要对该恶意电子邮件的恶意附件进行浏览,通过用户终端点击该恶意电子邮件以打开恶意附件,用户终端接收到用户的点击打开带有恶意标记的恶意电子邮件时,会发送恶意电子邮件的邮件标记至邮件服务器,请求邮件服务器返回与该邮件标记关联的恶意附件。本发明实施例中,通过使用沙箱返回的打开恶意文件的沙箱进程的协议信息和端口信息,与沙箱建立远程连接,从而可以在沙箱进程中远程浏览恶意电子邮件的恶意附件,实现用户安全地对恶意附件的浏览。下面举例对本发明实施例的应用场景进行说明:如图5和图6所示,是本发明实施例在第一应用场景的过程,其中,图5为本发明实施例中邮件服务器对恶意电子邮件的提取、存储和通信的流程示意图,该过程可以由邮件服务器的附件提取模块、存储模块以及通信模块执行,包括:附件提取模块对流量还原,提取恶意电子邮件的恶意附件以及对应的邮件标识,并发送恶意附件以及邮件标识至存储模块;存储模块存储接收的恶意附件,建立邮件关联表将恶意文件与邮件标识关联,并发送邮件标识至通信模块;通信模块将邮件标识发送给用户终端。需要说明的是,上述过程仅仅是说明邮件服务器对恶意电子邮件的提取、存储和通信的过程,并不局限于由附件提取模块、存储模块以及通信模块执行。其中,图6为本发明实施例中第一应用场景的实现浏览电子邮件的流程示意图,该过程可以在邮件服务器、载入单元、用户终端以及沙箱中进行,包括:邮件服务器存储提取的恶意电子邮件的恶意附件,建立邮件关联表,并发送提醒消息用户终端;用户终端向载入单元发出浏览启动请求,并传送邮件标识;载入单元在接收到用户终端的浏览启动请求后,发送邮件标识和查询请求至邮件服务器;邮件服务器响应查询请求,根据邮件标识查询邮件关联表并得到关联的恶意附件,并发送恶意附件至载入单元;载入单元将恶意附件和邮件标识发送至沙箱;沙箱生成新的沙箱进程,打开恶意附件,建立沙箱进程的协议信息与邮件标识的进程关联表,并发送沙箱进程的协议信息和端口信息至用户终端;用户终端根据沙箱进程的协议信息和端口信息,与沙箱建立远程连接,浏览恶意文件的内容,当用户完成浏览时,发送结束请求和邮件标识至沙箱;沙箱根据邮件标识在进程关联表中查询到关联的沙箱进程并进行销毁。需要说明的是,所述载入单元执行的动作可以由邮件服务器或用户终端完成,即邮件服务器或用户包括该载入单元。如图7和图8所示,是本发明实施例在第二应用场景的过程,图7为本发明实施例中邮件服务器对恶意电子邮件的提取、存储和通信的流程示意图,该过程可以由邮件服务器的附件提取模块、存储模块以及邮件标记模块执行,包括:附件提取模块对流量还原,提取恶意电子邮件的恶意附件以及对应的邮件标识,并发送恶意附件以及邮件标识至存储模块;存储模块存储接收的恶意附件,建立邮件关联表将恶意文件与邮件标识关联,并发送邮件标识至邮件标记模块;恶意标记模块将恶意电子邮件打上恶意标记。需要说明的是,上述过程仅仅是说明邮件服务器对恶意电子邮件的提取、存储和通信的过程,并不局限于由附件提取模块、存储模块以及恶意标记模块执行。其中,图8为本发明实施例在第二应用场景中实现浏览电子邮件的流程示意图,该过程可以在邮件服务器、载入单元、用户终端以及沙箱中进行,包括:邮件服务器存储提取的恶意电子邮件的恶意附件,建立邮件关联表,并将恶意电子邮件打上恶意标记;用户终端接收用户点击打开带有恶意标记的恶意电子邮件的操作,并发送浏览启动请求和邮件标记至载入单元;载入单元在接收到用户终端的浏览启动请求后,发送邮件标识和查询请求至邮件服务器;邮件服务器响应查询请求,根据邮件标识查询邮件关联表并得到关联的恶意附件,并发送恶意附件至载入单元;载入单元将恶意附件和邮件标识发送至沙箱;沙箱生成新的沙箱进程,打开恶意附件,建立沙箱进程的协议信息与邮件标识的进程关联表,并发送沙箱进程的协议信息和端口信息至用户终端;用户终端根据沙箱进程的协议信息和端口信息,与沙箱建立远程连接,浏览恶意文件的内容,当用户完成浏览时,发送结束请求和邮件标识至沙箱;沙箱根据邮件标识在进程关联表中查询到关联的沙箱进程并进行销毁。需要说明的是,所述载入单元执行的动作可以由邮件服务器或用户终端完成,即邮件服务器或用户包括该载入单元。如图9所示,本发明实施例提供一种用户终端的结构示意图,所述用户终端90包括:获取模块91,用于获取恶意电子邮件的恶意附件;发送模块92,用于将所述恶意附件发送至沙箱,以使所述沙箱生成打开所述恶意附件的沙箱进程;远程浏览模块93,用于接收所述沙箱返回的所述沙箱进程的地址信息,并使用所述地址信息在所述沙箱进程中远程浏览所述恶意附件。可选的,所述远程浏览模块还可以用于接收所述沙箱返回的所述沙箱进程的协议信息和端口信息,并使用所述协议信息和所述端口信息在所述沙箱进程中远程浏览所述恶意附件。可选的,所述获取模块还可以用于获取所述恶意电子邮件的恶意附件和邮件标识;所述发送模块还可以用于所述将所述恶意附件和所述邮件标识发送至沙箱,以使所述沙箱生成打开所述恶意附件的沙箱进程,并将所述邮件标识与所述沙箱进程进行关联;如图10所示,所述用户终端90还可以包括进程结束请求模块94,用于发送所述邮件标识和结束请求至所述沙箱,以使所述沙箱响应所述结束请求,销毁与所述邮件标识关联的沙箱进程。可选的,如图11所示,所述用户终端90还可以包括:提醒模块95,用于接收所述邮件服务器发送的已拦截所述恶意电子邮件的提醒消息,其中,所述提醒消息包括所述恶意电子邮件的邮件标识,且所述恶意电子邮件的邮件标识与所述恶意电子邮件的恶意附件关联并存储于所述邮件服务器中;所述获取模块91还可以用于根据接收到的用户输入的所述邮件标识,从所述邮件服务器中调取与所述邮件标识关联的所述恶意附件。可选的,如图12所示,所述用户终端90还可以包括:恶意电子邮件接收模块96,用于接收所述邮件服务器发送的被添加恶意标记的恶意电子邮件,其中,所述恶意电子邮件包括邮件标记和恶意附件,且所述邮件标记和所述恶意附件关联并存储于所述邮件服务器中;邮件标记发送模块97,用于根据接收到的用户对所述恶意电子邮件的打开操作,发送所述邮件标记至所述邮件服务器;所述获取模块91还可以用于接收所述邮件服务器返回与所述邮件标记关联的所述恶意附件。所述用户终端90能够实现图1至图8的方法实施例中用户终端实现的各个过程,以及能达到相同的有益效果,为避免重复,这里不再赘述。本领域普通技术人员可以理解实现上述实施例方法的全部或者部分步骤是可以通过程序指令相关的硬件来完成,所述的程序可以存储于一计算机可读取介质中,该程序在执行时,包括以下步骤:获取恶意电子邮件的恶意附件;将所述恶意附件发送至沙箱,以使所述沙箱生成打开所述恶意附件的沙箱进程;接收所述沙箱返回的所述沙箱进程的地址信息,并使用所述地址信息在所述沙箱进程中远程浏览所述恶意附件。可选的,所述接收所述沙箱返回的所述沙箱进程的地址信息,并使用所述地址信息在所述沙箱进程中远程浏览所述恶意附件,包括:接收所述沙箱返回的所述沙箱进程的协议信息和端口信息,并使用所述协议信息和所述端口信息在所述沙箱进程中远程浏览所述恶意附件。可选的,所述获取恶意电子邮件的恶意附件,包括:获取所述恶意电子邮件的恶意附件和邮件标识;所述将所述恶意附件发送至沙箱,以使所述沙箱生成打开所述恶意附件的沙箱进程,包括:所述将所述恶意附件和所述邮件标识发送至沙箱,以使所述沙箱生成打开所述恶意附件的沙箱进程,并将所述邮件标识与所述沙箱进程进行关联;所述接收所述沙箱返回的所述沙箱进程的地址信息,并使用所述地址信息在所述沙箱进程中远程浏览所述恶意附件之后,还包括:发送所述邮件标识和结束请求至所述沙箱,以使所述沙箱响应所述结束请求,销毁与所述邮件标识关联的沙箱进程。可选的,所述获取恶意电子邮件的恶意附件之前,还包括:接收所述邮件服务器发送的已拦截所述恶意电子邮件的提醒消息,其中,所述提醒消息包括所述恶意电子邮件的邮件标识,且所述恶意电子邮件的邮件标识与所述恶意电子邮件的恶意附件关联并存储于所述邮件服务器中;所述获取恶意电子邮件的恶意附件,包括:根据接收到的用户输入的所述邮件标识,从所述邮件服务器中调取与所述邮件标识关联的所述恶意附件。可选的,所述获取恶意电子邮件的恶意附件之前,还包括:接收所述邮件服务器发送的被添加恶意标记的恶意电子邮件,其中,所述恶意电子邮件包括邮件标记和恶意附件,且所述邮件标记和所述恶意附件关联并存储于所述邮件服务器中;根据接收到的用户对所述恶意电子邮件的打开操作,发送所述邮件标记至所述邮件服务器;所述获取恶意电子邮件的恶意附件,包括:接收所述邮件服务器返回与所述邮件标记关联的所述恶意附件。所述的存储介质,如只读存储器(read-onlymemory,简称rom)、随机存取存储器(randomaccessmemory,简称ram)、磁碟或者光盘等。以上所述是本发明的优选实施方式,应当指出,对于本
技术领域:
:的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。当前第1页12当前第1页12