(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211044692.0 (22)申请日 2022.08.30 (71)申请人 中京天裕科技 （杭州） 有限公司 地址 310000 浙江省杭州市西湖区三墩镇 金蓬街368号3幢342室 申请人 中京天裕科技 （北京） 有限公司 (72)发明人 高峻　晏培　张军　王彦丰　 胡鹏飞　 (74)专利代理 机构 深圳国联专利代理事务所 (特殊普通 合伙) 44465 专利代理师 陈丹丹 (51)Int.Cl. H04L 9/40(2022.01) H04L 51/42(2022.01) (54)发明名称 针对邮件勒索病毒的诱捕和防御方法及装 置 (57)摘要 本发明涉及一种针对邮件勒索病毒的诱捕 和防御方法及装置， 针对网络安全中面临的通过 邮件传播勒索病毒的问题， 通过部署邮件蜜罐实 现对勒索病毒的诱捕， 提取勒索病毒的特征， 用 于实际系统中邮件反病毒网关对邮件的高效、 精 准检测过滤， 为阻止通过邮件方式传播勒索病 毒， 避免对系统数据带来 危害提供了技 术保障。 权利要求书2页 说明书5页 附图3页 CN 115314320 A 2022.11.08 CN 115314320 A 1.一种针对邮件勒索病毒的诱捕和防御方法， 其特 征在于， 包 含一下步骤： S01.部署用以诱捕 勒索病毒的邮件蜜罐系统； S02.通过 所述邮件蜜罐系统监测邮件的接收； S03.利用沙盒对诱捕到的病毒 进行深度分析及报警； S04.更新勒索病毒特 征库； S05.部署反勒索病毒邮件网关实现对邮件进行 过滤； S06.利用勒索病毒特 征库检测邮件体及附件； S07.当与勒索病毒特 征匹配时阻止邮件的传递并报警。 2.根据权利要求1所述的针对邮件勒索病毒的诱捕和防御方法， 其特征在于， 步骤S02 监测邮件的接收具体包括： 检测邮件蜜 罐系统中的每个账户， 接收发送来的 邮件， 进行邮件 响应， 并将邮件分离出正文、 附件， 用于后续分析。 3.根据权利要求1所述的针对邮件勒索病毒的诱捕和防御方法， 其特征在于， 步骤S03 利用沙盒对诱捕到的病毒 进行深度分析及报警具体包括： S031.对于S02中接收的邮件进行安全检测， 如果包 含病毒则进一 步检测； S032.若邮件 包含病毒的特 征经匹配为已知勒索病毒特 征， 则记录日志并报警； S033.若邮件包含病毒的特征经匹配为未知勒索病毒特征， 则利用病毒分析工具进行 分析、 利用沙盒观察 其行为， 通过深度分析以确定是否为勒索病毒及其 危害性。 4.根据权利要求3所述的针对邮件勒索病 毒的诱捕和防御方法， 其特征在于， 如果步骤 S03中判定为未知勒索病毒， 则将该病毒的特征更新到病毒 特征库中， 便于后续在反勒索病 毒邮件网关中对邮件勒索病毒的快速判定 。 5.根据权利要求4所述的针对邮件勒索病 毒的诱捕和防御方法， 其特征在于， 反勒索病 毒邮件网关部署于邮件服 务器的网络边界， 通过对电子邮件扫描， 发现其中的勒索病毒并进行 过滤。 6.根据权利要求5所述的针对邮件勒索病 毒的诱捕和防御方法， 其特征在于， 反勒索病 毒网关针对邮件数据进行编解码和邮件结构分析， 根据邮件协 议解析获取邮件传输编 码方 式， 解析获取附件名称及附件内容， 或者从 嵌入的链接下 载到附件， 用于缓存及分析。 7.根据权利要求6所述的针对邮件勒索病毒的诱捕和防御 方法， 其特征在于步骤S07具 体如下： 利用病毒 特征库， 对从邮件数据中分离出的实际文件进 行病毒检测扫描， 当发现病 毒特征时阻止邮件的传递， 并进行报警。 8.针对邮件勒索病毒的诱捕和防御装置， 其特征在于， 包括 邮件蜜罐系统、 沙盒、 勒索 病毒特征库、 反勒索病毒邮件网关； 所述邮件蜜罐系统， 用于管理伪装邮件账户， 并检测伪装账户获取相关文件中的特 征； 所述沙盒用于对将提取到的特 征与已知邮件勒索病毒特 征对比， 及分析病毒行为； 所述勒索病 毒特征库用于记录已知邮件勒索病 毒的特征， 并能接收并记录所述沙盒提 供的未知邮件勒索病毒的特 征； 所述反勒索病毒邮件网关用于对正常账户进行检测。 9.根据权利要求8所述的针对邮件勒索病 毒的诱捕和防御装置， 其特征在于， 所述邮件 蜜罐系统包括邮件账户管理模块、 邮件服务模块、 邮件正文分析模块、 附件缓存分析模块、 勒索病毒特 征模块；权　利　要　求　书 1/2 页 2 CN 115314320 A 2所述邮件账户管理模块， 邮件蜜罐系统中的邮件账户， 是为诱捕勒索病毒而设置的系 列账户； 邮件服务模块， 提供正常的邮件服 务各项功能； 邮件正文分析模块， 用以分离出邮件的正文， 以及正文中包含的图片、 脚本等嵌入组 件； 附件缓存分析模块， 用以分离出邮件的附件， 或者从嵌入的链接下载到附件， 用于缓存 及分析； 勒索病毒特征模块， 对分析出的勒索病毒样本， 提取出样本的特征， 用于后续对勒索病 毒的快速检测。权　利　要　求　书 2/2 页 3 CN 115314320 A 3