CN101789105B - 一种在数据包的级别动态检测邮件附件病毒的方法 - Google Patents

一种在数据包的级别动态检测邮件附件病毒的方法 Download PDF

Info

Publication number
CN101789105B
CN101789105B CN2010101241789A CN201010124178A CN101789105B CN 101789105 B CN101789105 B CN 101789105B CN 2010101241789 A CN2010101241789 A CN 2010101241789A CN 201010124178 A CN201010124178 A CN 201010124178A CN 101789105 B CN101789105 B CN 101789105B
Authority
CN
China
Prior art keywords
packet
mail
accessory information
decoded
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2010101241789A
Other languages
English (en)
Other versions
CN101789105A (zh
Inventor
童志明
张栗伟
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing ahtech network Safe Technology Ltd
Original Assignee
Beijing Antiy Electronic Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Electronic Equipment Co Ltd filed Critical Beijing Antiy Electronic Equipment Co Ltd
Priority to CN2010101241789A priority Critical patent/CN101789105B/zh
Publication of CN101789105A publication Critical patent/CN101789105A/zh
Application granted granted Critical
Publication of CN101789105B publication Critical patent/CN101789105B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种在数据包的级别动态检测邮件附件病毒的方法,涉及网站安全技术领域。所述方法包括:判断接收到的数据包是否包含附件信息;查看附件信息所使用的编码方式;判断该数据包是否是邮件的结束部分;根据解码后的附件信息长度与预设定的阀值的关系对其进行操作。本发明能够提高内存使用率和病毒的检测效率。

Description

一种在数据包的级别动态检测邮件附件病毒的方法
技术领域
本发明涉及电子邮件病毒检测领域,尤其涉及一种在数据包的级别动态检测邮件附件病毒的方法。
背景技术
随着互联网的发展和普及,电子邮件在人们的工作和生活中扮演着日趋重要的角色,成为现代人际交往中最重要的网络工具之一。但与此同时,电子邮件病毒也越来越猖獗,轻则造成用户电脑系统瘫痪,重则导致用户数据资料外泄或被销毁。
简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)是目前广泛使用的互联网邮件传输协议。但SMTP是一个相对简单的基于纯ASCII文本的协议,并不允许在邮件消息中使用ASCII字符集以外的字符。因此,一些非英语字符集消息和二进制文件、图像、声音等非文字信息都不能在电子邮件中发送。
多用途互联网邮件扩展(Multipurpose Internet Mail Extensions,MIME)是一个互联网标准,它扩展了电子邮件标准,使其能够支持非ASCII码字符、二进制格式附件等多种格式的邮件消息。如今,大多数的SMTP服务器都支持MIME扩展,它使各式类型数据的传输变得和纯文本一样简单。
MIME规定了用于表示各种各样的数据类型的符号化方法,包括7bit,8bit,binary,quoted-printable,base64这几种编码方式。二进制文件、图像、声音等非文字信息可通过其中某种编码方式编码成对应的纯文本信息,使得这些非文字信息即可以附件的形式在邮件中进行发送了。
但这却给邮件病毒提供了更多的藏身之所,越来越多的病毒选择隐藏在邮件附件中来进行传播。若用户点击携带了病毒的邮件附件,不仅自身的电脑会由于病毒感染而造成损失,而且病毒会按照用户的通讯录将病毒再传播给其他人,最严重的情况可能会造成整个网络的瘫痪。
在目前通用的杀毒软件中,检测邮件附件是否含有病毒的方法是对已编码的整个附件信息进行解码检测。这样做,有以下两点不足之处:
1.占用较大容量的缓冲区来存储待检测的附件,降低了内存的利用率;
2.必须接收到所有附件信息后,才能进行解码检测,增大子检测到病毒的时延,降低了工作效率;
发明内容
为了克服现有的邮件附件病毒检测技术需占用大量缓冲区的不足点,同时缩小检测出病毒的时延,本发明提供一种在数据包的级别动态检测邮件附件病毒的方法。
本发明解决其技术问题所采用的技术方案是:
一种在数据包的级别动态检测邮件附件病毒的方法,包括:
判断接收到的数据包是否包含附件信息;
查看附件信息所使用的编码方式;
判断该数据包是否是邮件的结束部分;
根据解码后的附件信息长度与预设定的阀值的关系对其进行操作。
本发明提出一种在数据包的级别动态检测邮件附件病毒的方法采用动态检测的思想,接收到一个数据包则解码检测一次,不必等到所有附件信息收集齐全后再集中解码检测。采用这种技术,一方面可减少所需缓冲区的大小,提高内存使用率;另一方面,大大降低了检测出病毒的时延,提高了检测效率。
技术效果
与现有技术相比,本发明具有以下有益效果:
1.不同于现有技术需要大量的缓冲区来存储已接收到的若干个数据包,本方法只需少量的缓冲区间来存储未达到预处理长度的信息,这样提高了内存的利用率;
2.如果先收到的某个数据包中包含病毒,在现有技术下却要等到所有数据包收齐后才能被检测出来,这样增大了检测出病毒的时延且降低了检测效率。但本发明提出的方法是收到一个数据包则解码检测一次,这样大大缩短了检测出病毒的时延,提高了检测效率。
附图说明
图1为本发明所述一种在数据包的级别动态检测邮件附件病毒的方法的具体实施流程图。
具体实施方式
下面结合附图对本发明实施例的技术方案及其技术效果做详细说明。
本发明所述一种在数据包的级别动态检测邮件附件病毒的方法如图1所示,包括如下步骤:
步骤101判断接收的数据包是否包含附件信息:接收到一个数据包后,根据其MIME头部信息来判断包含附件信息的情况;如果含有附件信息,则对该附件信息进行解码。MIME头部信息中的内容处置(Content-Disposition)字段用于指定邮件阅读程序处理数据内容的方式,其有inline和attachment两种标准方式:inline表示直接处理;attachment表示当作附件处理。
在此步骤中,如果将Content-Disposition设置为attachment,那么其后还可以指定filename属性,例如:Content-Dispositon:attachment;filename=“hello.doc”,其中MIME头字段表示MIME消息体的内容为邮件附件,附件名为“hello.doc”。亦即是说,当MIME头部信息中Content-Dispositon的字段为attachment时,则表示信息体为附件信息。
步骤102查看附件信息所使用的编码方式:MIME头部信息中的内容传输编码(Content-Tansfer-Encoding)字段用于指定编码方式。形式如下:Content-Transfer-Encoding:[mechanism];其中mechanism的值可指定为“7bit”、“8bit”、“binary”、“quoted-printable”、“base64”。如果mechanism值为“base64”,那么表示该附件信息是采用“base64”方式编码,则采用“base64”方式解码附件信息。
步骤103判断该数据包是否邮件的结束部分:MIME头部信息中的内容类型(Content-Type)字段中的boundary属性用于定义表示嵌套的各个MIME消息之间的边界标记,每个边界标记都以两个“-”连接符开始;同时,在最后一个MIME段的末端,边界标记不仅以这两个连接符作为开始,而且也以它们作为结束。因此,如果boundary属性值末端连着两个连续的连接符,那么表示该段信息为邮件的结束部分,则直接对其进行检测。
步骤104根据解码后的附加信息长度与预设定的阀值的关系对其进行操作:
设定一个阈值L来表示内存中暂存待检测的附件信息的缓冲区的大小;一般情况下,该阈值L略大于在网络中传输的数据包的长度,但远远小于整个附件信息的长度;
判断解码后的附件信息长度与阈值L的大小关系;
如果该数据包不是邮件的结束部分,则根据解码后的附件信息长度与阈值的大小关系按照不同的顺序进行检测。假定预设定的数据包解码后附件信息长度为L1,暂存在缓冲区中的信息长度为L2;若L1与L2之和小于L,则将其存入内存的缓冲区中,等待下一个数据包到达之后再判断其和与下一个数据包之和是否达到该阈值L;如果达到,则将其与下一个数据包解码后得到的信息一起进行病毒检测;如果L1与L2之和不小于L,则直接检测其是否包含病毒;
如果该数据包为最后一个数据包,则直接解码检测。
步骤105结束。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (1)

1.一种在数据包的级别动态检测邮件附件病毒的方法,其特征在于,包括:
判断接收到的数据包是否包含附件信息;
当数据包包含附件信息时:查看邮件的编码方式;
判断该数据包是否为邮件的结束部分;
预先设定一个阈值表示内存中暂存的待检测附件信息的缓冲区大小;
判断如果该数据包不是邮件的结束部分,则根据邮件的编码方式进行解码,如果解码后的附件信息长度和暂存在缓冲区中的信息长度之和小于预先设定的阈值,则将数据包解码后的附件信息存入内存的缓冲区中,等待下一个数据包到达之后再判断与下一个数据包解码后的信息长度之和是否达到该阈值,如果达到,则将其与下一个数据包解码后得到的信息一起进行病毒检测;如果解码后的附件信息与缓冲区中暂存的信息长度之和达到这一阈值,则直接检测其是否包含病毒;
如果该数据包为邮件的结束部分,则根据邮件的编码方式进行解码,然后直接对解码后的附件信息进行检测。
CN2010101241789A 2010-03-15 2010-03-15 一种在数据包的级别动态检测邮件附件病毒的方法 Active CN101789105B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2010101241789A CN101789105B (zh) 2010-03-15 2010-03-15 一种在数据包的级别动态检测邮件附件病毒的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2010101241789A CN101789105B (zh) 2010-03-15 2010-03-15 一种在数据包的级别动态检测邮件附件病毒的方法

Publications (2)

Publication Number Publication Date
CN101789105A CN101789105A (zh) 2010-07-28
CN101789105B true CN101789105B (zh) 2013-01-30

Family

ID=42532308

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010101241789A Active CN101789105B (zh) 2010-03-15 2010-03-15 一种在数据包的级别动态检测邮件附件病毒的方法

Country Status (1)

Country Link
CN (1) CN101789105B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102708313B (zh) * 2012-03-08 2015-04-22 珠海市君天电子科技有限公司 针对大文件的病毒检测系统及方法
CN103546449A (zh) * 2012-12-24 2014-01-29 哈尔滨安天科技股份有限公司 一种基于附件格式的邮件病毒检测方法和装置
KR101729637B1 (ko) * 2013-06-26 2017-04-24 후아웨이 테크놀러지 컴퍼니 리미티드 네트워크 장치 및 이메일 요구 처리 방법
CN105991395B (zh) * 2015-01-30 2019-04-09 杭州迪普科技股份有限公司 附件替换方法及装置
CN109167783A (zh) * 2018-08-31 2019-01-08 杭州迪普科技股份有限公司 一种识别邮件病毒的方法和装置
CN110995694B (zh) * 2019-11-28 2021-10-12 新华三半导体技术有限公司 网络报文检测方法、装置、网络安全设备及存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7600257B2 (en) * 2004-10-13 2009-10-06 Sonicwall, Inc. Method and an apparatus to perform multiple packet payloads analysis
US7854007B2 (en) * 2005-05-05 2010-12-14 Ironport Systems, Inc. Identifying threats in electronic messages

Also Published As

Publication number Publication date
CN101789105A (zh) 2010-07-28

Similar Documents

Publication Publication Date Title
CN101789105B (zh) 一种在数据包的级别动态检测邮件附件病毒的方法
CA2512821A1 (en) Adaptive junk message filtering system
US20150052194A1 (en) Publisher-based message data caching in a publish-subscription environment
FI20002566A (fi) Tiedonsiirto
CN103391547A (zh) 一种信息处理的方法和终端
CN103684974A (zh) 邮件处理方法及系统
US8874675B2 (en) Message thread management using dynamic pointers
CN101778059A (zh) 邮件处理方法、网关设备及网络系统
CN101969411B (zh) 一种非加密web邮件的分析还原方法及系统
US20080235798A1 (en) Method for filtering junk messages
CN101616100B (zh) 邮件推送、接收、发送方法、邮件服务器及邮件客户端
CN101795273B (zh) 一种垃圾邮件过滤方法及装置
US8874666B2 (en) Publisher-assisted, broker-based caching in a publish-subscription environment
CN104077363B (zh) 邮件服务器及其进行邮件全文搜索的方法
CN101094197B (zh) 反垃圾邮件的方法及其邮件服务器
CN1867105A (zh) 一种利用IP Push技术实现邮件推送的系统及方法
WO2003056409A3 (en) Dealing with a computer virus which self-propagates by email
US20120215858A1 (en) Caching potentially repetitive message data in a publish-subscription environment
US9544252B2 (en) Compressing and decompressing electronic messages in message threads
CN103326927B (zh) 一种代收邮件的方法和装置
CN101651852A (zh) 用短信发邮件和对用短信发的邮件进行回复的系统及方法
US20040268216A1 (en) Method and apparatus for transferring a document into a folder
CN103746896A (zh) 一种处理邮件的方法及装置
CN101094201A (zh) 一种即时通信系统中通知电子邮件的方法
CN105103515A (zh) 一种数据处理的方法、装置及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
DD01 Delivery of document by public notice

Addressee: Beijing Antiy Electronic Installation Co., Ltd.

Document name: Notification of Publication and of Entering the Substantive Examination Stage of the Application for Invention

C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee
CP02 Change in the address of a patent holder

Address after: 100190 Zhongguancun Haidian District street, No. 14, layer, 1 1415-16

Patentee after: Beijing Antiy Electronic Installation Co., Ltd.

Address before: 100085, 2B-521, bright city, No. 1, Nongda South Road, Beijing, Haidian District

Patentee before: Beijing Antiy Electronic Installation Co., Ltd.

CP03 Change of name, title or address

Address after: 100195 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a

Patentee after: Beijing ahtech network Safe Technology Ltd

Address before: 100190 Zhongguancun Haidian District street, No. 14, layer, 1 1415-16

Patentee before: Beijing Antiy Electronic Installation Co., Ltd.

CP03 Change of name, title or address
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Packet-level dynamic mail attachment virus detection method

Effective date of registration: 20181119

Granted publication date: 20130130

Pledgee: Shanghai Pudong Development Bank Limited by Share Ltd Harbin branch

Pledgor: Beijing ahtech network Safe Technology Ltd

Registration number: 2018990001084

Denomination of invention: Packet-level dynamic mail attachment virus detection method

Effective date of registration: 20181119

Granted publication date: 20130130

Pledgee: Shanghai Pudong Development Bank Limited by Share Ltd Harbin branch

Pledgor: Beijing ahtech network Safe Technology Ltd

Registration number: 2018990001084

PE01 Entry into force of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20200508

Granted publication date: 20130130

Pledgee: Shanghai Pudong Development Bank Limited by Share Ltd Harbin branch

Pledgor: BEIJING ANTIY NETWORK TECHNOLOGY Co.,Ltd.

Registration number: 2018990001084

PC01 Cancellation of the registration of the contract for pledge of patent right