CN105991395B - 附件替换方法及装置 - Google Patents
附件替换方法及装置 Download PDFInfo
- Publication number
- CN105991395B CN105991395B CN201510051147.8A CN201510051147A CN105991395B CN 105991395 B CN105991395 B CN 105991395B CN 201510051147 A CN201510051147 A CN 201510051147A CN 105991395 B CN105991395 B CN 105991395B
- Authority
- CN
- China
- Prior art keywords
- attachment
- format
- email messages
- coded format
- virus characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请提供一种附件替换方法及装置,应用于网络设备上,该方法包括:获取邮件报文中附件的编码格式;根据所述编码格式对所述附件进行病毒特征识别;根据识别结果替换所述邮件报文中的附件。通过本申请可以更加准确识别病毒附件,从而彻底清除病毒附件,提高对病毒附件的处理效率,真正达到防病毒效果。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及附件替换方法及装置。
背景技术
电子邮件是一种重要的信息交换方式,尤其在办公应用中。由于网络安全形势严峻,电子邮件容易受到邮件病毒的恶意攻击。邮件病毒主要携带在附件中,当用户浏览或下载附件时造成用户主机感染病毒,进而破坏主机的系统以及文件等,造成信息丢失等严重后果。目前,对病毒附件的识别和处理不够彻底,处理效率低,且效果不佳。
发明内容
有鉴于此,本申请提供了一种附件替换方法,应用于网络设备上,该方法包括:
获取邮件报文中附件的编码格式;
根据所述编码格式对所述附件进行病毒特征识别;
根据识别结果替换所述邮件报文中的附件。
本申请还提供了一种附件替换装置,应用于网络设备上,该装置包括:
获取单元,用于获取邮件报文中附件的编码格式;
识别单元,用于根据所述编码格式对所述附件进行病毒特征识别;
替换单元,用于根据识别结果替换所述邮件报文中的附件。
本申请针对不同编码格式的附件采取不同的病毒识别方法,并在识别出病毒后,对病毒附件进行替换。通过本申请可以更加准确识别病毒附件,从而彻底清除病毒附件,提高对病毒附件的处理效率,真正达到防病毒效果。
附图说明
图1是本申请一种实施例中附件替换方法的处理流程图;
图2是本申请一种实施例中附件替换装置的基础硬件示意图;
图3是本申请一种实施例中附件替换装置的结构示意图。
具体实施方式
为使本申请的目的、技术方案及优点更加清楚明白,以下参照附图对本申请所述方案作进一步地详细说明。
电子邮件是互联网中应用最广泛的一种通信方式,可以承载大量用户希望获得的信息,且通常采用附件的形式携带在电子邮件中。由于网络安全形势日益严峻,电子邮件很容易受到病毒的恶意攻击,且大量病毒主要携带在附件中。当用户浏览或下载附件时,病毒会潜伏到用户主机上,当病毒发作时,破坏用户主机系统以及文件等,影响主机的正常使用,甚至造成重要信息丢失等严重后果。目前,针对病毒附件的识别和处理都不够彻底,处理效率低,且效果不佳。
针对上述问题,本申请实施例提出一种附件替换方法,该方法根据附件的编码格式采取相应的病毒识别方法,并在识别出病毒附件后,对病毒附件进行替换。
参见图1,为本申请附件替换方法的一个实施例流程图,该实施例对附件替换的处理过程进行描述。
步骤110,获取邮件报文中附件的编码格式。
在对电子邮件进行防病毒控制之前,网络管理员可以根据实际的控制需求在网络设备上进行防病毒配置,具体包括:配置邮件报文的入接口,以及在该入接口上拟采取的防病毒策略。其中,邮件报文为承载电子邮件的报文,目前,比较流行的邮件报文包括SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)、POP3(Post Office Protocol-Version,邮局协议版本3)以及IMAP4(Internet Message Access Protocol 4,交互式数据消息访问协议第四个版本);入接口为网络设备接收电子邮件的接口。在某一接口上配置的防病毒策略只适用于当前接口,其中,防病毒策略可以为病毒替换、病毒删除等,可根据实际控制需求进行配置。本申请实施例中,将防病毒策略配置为病毒替换,即在识别出携带病毒的附件时,替换掉病毒附件,从而起到防病毒的作用。
在完成上述配置后,网络设备开始接收报文进行处理。首先,需要对接收的报文进行协议识别,例如,可以通过固定端口号、报文特征匹配等现有的识别方式判断接收的报文是否为邮件报文。在确定为邮件报文时,从报文头中获取附件配置信息,该附件配置信息表明该邮件报文中是否存在附件。当存在附件时,从报文头中获取附件的编码格式,目前,已知的附件编码格式包括7bit(7位编码)、8bit(8位编码)、binary(二进制编码)、quoted-printable(可打印字符引用编码)、base64(基础64编码)以及custom(定制编码),其中,常用的编码格式为7bit、quoted-printable以及base64。通过上述编码格式将附件转化成ASCII(American Standard Code for Information Interchange,美国信息互换标准代码)码格式,这是由于电子邮件只能传输ASCII格式的信息。
步骤120,根据所述编码格式对所述附件进行病毒特征识别。
步骤110提到的几种编码格式可以分为两大类:加密格式和明文格式,例如,quoted-printable和base64属于加密格式,7bit属于明文格式。
在一种实施方式中,网络设备获取到附件的编码格式后,首先判断该编码格式是否属于加密格式,根据判断结果进行如下处理:
如果附件的编码格式属于加密格式,则根据具体编码格式对附件进行解码,例如,附件编码格式为quoted-printable时,则根据该quoted-printable编码格式的特征进行解码,解码后进行病毒特征识别。
如果附件的编码格式不属于加密格式,即附件的编码格式属于明文格式,则可以直接对附件进行病毒特征识别。
在对上述处理后的附件进行病毒特征识别时,可以通过病毒特征引擎在附件中查找病毒特征,其中,该病毒特征引擎是根据已搜集到所有病毒特征编译的引擎。当在附件中找到病毒特征时,记录对应病毒代码在邮件报文中的位置信息,包括起始位置和结束位置。
在另一种实施方式中,网络设备接收邮件报文后,直接利用病毒特征引擎对附件进行病毒特征识别。如果识别出病毒特征,说明附件的编码格式属于明文格式,记录对应病毒代码在邮件报文中的起始位置和结束位置;当未识别出病毒特征时,说明附件中可能没有病毒或者附件的编码格式可能属于加密格式,此时,判断附件的编码格式是否属于加密格式,如果属于加密格式,则根据编码格式对附件解码,解码后进行病毒特征识别。
步骤130,根据识别结果替换所述邮件报文中的附件。
在经过步骤120的病毒特征识别后,如果识别的结果为附件携带病毒特征,则判断携带该附件的邮件报文是否为从预先配置的入接口接收的报文,当该邮件报文为从预先配置的入接口接收的报文时,进一步判断该入接口上配置的防病毒策略是否为病毒替换策略,在确认为病毒替换策略时,替换该邮件报文中的附件。
在进行附件替换时,根据附件的编码格式不同,其附件替换方式也不同。首先,判断附件的编码格式是否属于加密格式,根据判断结果进行如下处理:
当附件的编码格式属于加密格式时,获取该附件在邮件报文中的位置信息,该位置信息包括起始位置和结束位置,其中,附件的位置信息可通过MIME(MultipurposeInternet Mail Extensions,多用途互联网邮件扩展类型)解析器在附件解码前获取。由于对加密格式的附件解码再编码需要较大的缓存,且占用大量的CPU处理时间,因此,对于加密格式的附件一旦发现病毒特征即根据获得的附件位置信息替换整个附件,以提高防病毒的处理效率。
当附件的编码格式不属于加密格式时,获取附件中病毒代码的位置信息,例如,如前所述,病毒代码的位置信息可在通过病毒特征引擎对附件进行病毒识别时获得。对于非加密格式的附件只针对病毒代码部分进行替换,以保证附件的部分有效。
此外,在前述识别出附件中的病毒特征时,可以在病毒告警日志中记录该病毒特征的标识,向日志服务器发送该病毒告警日志,以便网络管理员及时掌握系统中邮件受攻击情况,根据病毒特征采取有针对性的防御措施。
与前述附件替换方法的实施例相对应,本申请还提供附件替换装置的实施例。
本申请附件替换装置的实施例可以应用在网络设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的CPU运行存储器中对应的计算机程序指令形成的。从硬件层面而言,如图2所示,为本申请附件替换装置所在设备的一种硬件结构图,除了图2所示的CPU、存储器之外,实施例中装置所在的设备通常还可以包括其他硬件。
请参考图3,为本申请一个实施例中的附件替换装置的结构示意图。该附件替换装置包括获取单元301、识别单元302以及替换单元303,其中:
获取单元301,用于获取邮件报文中附件的编码格式;
识别单元302,用于根据所述编码格式对所述附件进行病毒特征识别;
替换单元303,用于根据识别结果替换所述邮件报文中的附件。
进一步地,
所述识别单元302,具体用于判断所述编码格式是否属于加密格式;当所述编码格式属于加密格式时,根据所述编码格式对所述附件进行解码;对解码后的附件进行病毒特征识别;当所述编码格式不属于加密格式时,对所述附件进行病毒特征识别。
进一步地,
所述识别单元302,具体用于对所述附件进行病毒特征识别;当识别结果为所述附件未携带病毒特征时,判断所述编码格式是否属于加密格式;当所述编码格式属于加密格式时,根据所述编码格式对所述附件进行解码;对解码后的附件进行病毒特征识别。
进一步地,所述附件替换装置还包括:
配置单元,用于在所述获取单元获取邮件报文中附件的编码格式之前,配置所述邮件报文的入接口;在所述入接口上配置防病毒策略;
所述替换单元303,具体包括:
接口判断模块,用于当所述识别结果为所述附件携带病毒特征时,判断所述邮件报文是否为从所述入接口接收的报文;
策略判断模块,用于当所述邮件报文为从所述入接口接收的报文时,判断所述入接口上配置的防病毒策略是否为病毒替换策略;
附件替换模块,用于当所述入接口上的防病毒策略为所述病毒替换策略时,替换所述邮件报文中的附件。
进一步地,
所述附件替换模块,具体用于判断所述附件的编码格式是否属于加密格式;当所述附件的编码格式属于加密格式时,获取所述附件在邮件报文中的位置信息;根据所述附件的位置信息替换整个附件;当所述附件的编码格式不属于加密格式时,获取所述附件中病毒代码的位置信息;替换所述附件中的病毒代码。
上述图3示出的附件替换装置的实施例,其具体实现过程可参见前述方法实施例的说明,在此不再赘述。
从以上方法和装置的实施例中可以看出,本申请针对不同编码格式的附件采取不同的病毒识别方法,并在识别出病毒后,对病毒附件进行替换。通过本申请可以更加准确识别病毒附件,从而彻底清除病毒附件,提高对病毒附件的处理效率,真正达到防病毒效果。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种附件替换方法,应用于网络设备上,其特征在于,该方法包括:
获取邮件报文中附件的编码格式;
判断所述编码格式是否属于加密格式;
根据判断结果对所述附件进行病毒特征识别;
根据识别结果替换所述邮件报文中的附件。
2.如权利要求1所述的方法,其特征在于,所述根据判断结果对所述附件进行病毒特征识别,包括:
当所述编码格式属于加密格式时,根据所述编码格式对所述附件进行解码;对解码后的附件进行病毒特征识别;
当所述编码格式不属于加密格式时,对所述附件进行病毒特征识别。
3.如权利要求1所述的方法,其特征在于,所述判断所述编码格式是否属于加密格式,包括:
对所述附件进行病毒特征识别;
当识别结果为所述附件未携带病毒特征时,判断所述编码格式是否属于加密格式;
所述根据判断结果对所述附件进行病毒特征识别,包括:
当所述编码格式属于加密格式时,根据所述编码格式对所述附件进行解码;对解码后的附件进行病毒特征识别。
4.如权利要求1所述的方法,其特征在于,所述获取邮件报文中附件的编码格式之前,还包括:
配置所述邮件报文的入接口;
在所述入接口上配置防病毒策略;
所述根据识别结果替换所述邮件报文中的附件,包括:
当所述识别结果为所述附件携带病毒特征时,判断所述邮件报文是否为从所述入接口接收的报文;
当所述邮件报文为从所述入接口接收的报文时,判断所述入接口上配置的防病毒策略是否为病毒替换策略;
当所述入接口上的防病毒策略为所述病毒替换策略时,替换所述邮件报文中的附件。
5.如权利要求4所述的方法,其特征在于,所述替换所述邮件报文中的附件,包括:
当所述附件的编码格式属于加密格式时,获取所述附件在邮件报文中的位置信息;根据所述附件的位置信息替换整个附件;
当所述附件的编码格式不属于加密格式时,获取所述附件中病毒代码的位置信息;替换所述附件中的病毒代码。
6.一种附件替换装置,应用于网络设备上,其特征在于,该装置包括:
获取单元,用于获取邮件报文中附件的编码格式;
识别单元,用于判断所述编码格式是否属于加密格式;根据判断结果对所述附件进行病毒特征识别;
替换单元,用于根据识别结果替换所述邮件报文中的附件。
7.如权利要求6所述的装置,其特征在于:
所述识别单元,具体用于当所述编码格式属于加密格式时,根据所述编码格式对所述附件进行解码;对解码后的附件进行病毒特征识别;当所述编码格式不属于加密格式时,对所述附件进行病毒特征识别。
8.如权利要求6所述的装置,其特征在于:
所述识别单元,具体用于对所述附件进行病毒特征识别;当识别结果为所述附件未携带病毒特征时,判断所述编码格式是否属于加密格式;当所述编码格式属于加密格式时,根据所述编码格式对所述附件进行解码;对解码后的附件进行病毒特征识别。
9.如权利要求6所述的装置,其特征在于,所述装置还包括:
配置单元,用于在所述获取单元获取邮件报文中附件的编码格式之前,配置所述邮件报文的入接口;在所述入接口上配置防病毒策略;
所述替换单元,具体包括:
接口判断模块,用于当所述识别结果为所述附件携带病毒特征时,判断所述邮件报文是否为从所述入接口接收的报文;
策略判断模块,用于当所述邮件报文为从所述入接口接收的报文时,判断所述入接口上配置的防病毒策略是否为病毒替换策略;
附件替换模块,用于当所述入接口上的防病毒策略为所述病毒替换策略时,替换所述邮件报文中的附件。
10.如权利要求9所述的装置,其特征在于:
所述附件替换模块,具体用于当所述附件的编码格式属于加密格式时,获取所述附件在邮件报文中的位置信息;根据所述附件的位置信息替换整个附件;当所述附件的编码格式不属于加密格式时,获取所述附件中病毒代码的位置信息;替换所述附件中的病毒代码。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510051147.8A CN105991395B (zh) | 2015-01-30 | 2015-01-30 | 附件替换方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510051147.8A CN105991395B (zh) | 2015-01-30 | 2015-01-30 | 附件替换方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105991395A CN105991395A (zh) | 2016-10-05 |
CN105991395B true CN105991395B (zh) | 2019-04-09 |
Family
ID=57035998
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510051147.8A Active CN105991395B (zh) | 2015-01-30 | 2015-01-30 | 附件替换方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105991395B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111262831A (zh) * | 2020-01-07 | 2020-06-09 | 深信服科技股份有限公司 | 钓鱼邮件检测方法、装置、设备及计算机可读存储介质 |
CN116150752A (zh) * | 2022-12-30 | 2023-05-23 | 广州尚融网络科技有限公司 | 一种邮件附件病毒识别方法、系统、设备及可存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1863221A (zh) * | 2005-05-13 | 2006-11-15 | 北京六合万通微电子技术有限公司 | 本振泄漏的检测装置 |
CN101079689A (zh) * | 2006-05-26 | 2007-11-28 | 上海晨兴电子科技有限公司 | 对手机接收数据进行病毒扫描和处理的方法及装置 |
CN101789105A (zh) * | 2010-03-15 | 2010-07-28 | 北京安天电子设备有限公司 | 一种在数据包的级别动态检测邮件附件病毒的方法 |
CN103546449A (zh) * | 2012-12-24 | 2014-01-29 | 哈尔滨安天科技股份有限公司 | 一种基于附件格式的邮件病毒检测方法和装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030097409A1 (en) * | 2001-10-05 | 2003-05-22 | Hungchou Tsai | Systems and methods for securing computers |
-
2015
- 2015-01-30 CN CN201510051147.8A patent/CN105991395B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1863221A (zh) * | 2005-05-13 | 2006-11-15 | 北京六合万通微电子技术有限公司 | 本振泄漏的检测装置 |
CN101079689A (zh) * | 2006-05-26 | 2007-11-28 | 上海晨兴电子科技有限公司 | 对手机接收数据进行病毒扫描和处理的方法及装置 |
CN101789105A (zh) * | 2010-03-15 | 2010-07-28 | 北京安天电子设备有限公司 | 一种在数据包的级别动态检测邮件附件病毒的方法 |
CN103546449A (zh) * | 2012-12-24 | 2014-01-29 | 哈尔滨安天科技股份有限公司 | 一种基于附件格式的邮件病毒检测方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN105991395A (zh) | 2016-10-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11997115B1 (en) | Message platform for automated threat simulation, reporting, detection, and remediation | |
US11470029B2 (en) | Analysis and reporting of suspicious email | |
US11601450B1 (en) | Suspicious message report processing and threat response | |
US11516248B2 (en) | Security system for detection and mitigation of malicious communications | |
US9906554B2 (en) | Suspicious message processing and incident response | |
US10523609B1 (en) | Multi-vector malware detection and analysis | |
US7865965B2 (en) | Optimization of distributed anti-virus scanning | |
US20120278894A1 (en) | Resisting the spread of unwanted code and data | |
AU2012347793A1 (en) | Detecting malware using stored patterns | |
CN111147489B (zh) | 一种面向链接伪装的鱼叉攻击邮件发现方法及装置 | |
WO2007131105A8 (en) | A method and system for spam, virus, and spyware scanning in a data network | |
CN111585956B (zh) | 一种网址防刷验证方法与装置 | |
US11978020B2 (en) | Email security analysis | |
CN111859374B (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
WO2018009592A1 (en) | Secure message inoculation | |
CN103716335A (zh) | 基于伪造发件人的垃圾邮件检测与过滤方法 | |
IL254869A (en) | Processing message reports and prioritizing threats | |
CN105991395B (zh) | 附件替换方法及装置 | |
US20060075099A1 (en) | Automatic elimination of viruses and spam | |
US10169579B1 (en) | Malicious PDF detection | |
Alazab et al. | The role of spam in cybercrime: data from the Australian cybercrime pilot observatory | |
CN111031054A (zh) | 一种cc防护方法 | |
CN105450512B (zh) | 一种基于osi七层协议的邮件安全分析方法及装置 | |
CN117176446A (zh) | 一种遭受钓鱼邮件攻击后的善后处理方法 | |
Agarwal et al. | Prove You are HUMAN, Type “CAPTCHA”—A New Security Solution for Web |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |