公开/公告号CN101789105A
专利类型发明专利
公开/公告日2010-07-28
原文格式PDF
申请/专利权人 北京安天电子设备有限公司;
申请/专利号CN201010124178.9
申请日2010-03-15
分类号G06Q10/00(20060101);H04L12/58(20060101);
代理机构
代理人
地址 100085 北京市海淀区上地信息路2号国际创业园1号楼25A
入库时间 2023-12-18 00:05:42
法律状态公告日
法律状态信息
法律状态
2020-06-02
专利权质押合同登记的注销 IPC(主分类):G06F21/56 授权公告日:20130130 登记号:2018990001084 出质人:北京安天网络安全技术有限公司 质权人:上海浦东发展银行股份有限公司哈尔滨分行 解除日:20200508 申请日:20100315
专利权质押合同登记的生效、变更及注销
2018-12-14
专利权质押合同登记的生效 IPC(主分类):G06F21/56 登记号:2018990001084 登记生效日:20181119 出质人:北京安天网络安全技术有限公司 质权人:上海浦东发展银行股份有限公司哈尔滨分行 发明名称:一种在数据包的级别动态检测邮件附件病毒的方法 授权公告日:20130130 申请日:20100315
专利权质押合同登记的生效、变更及注销
2017-05-31
专利权人的姓名或者名称、地址的变更 IPC(主分类):G06F21/56 变更前: 变更后: 申请日:20100315
专利权人的姓名或者名称、地址的变更
2013-07-24
专利权人的姓名或者名称、地址的变更 IPC(主分类):G06F21/56 变更前: 变更后: 申请日:20100315
专利权人的姓名或者名称、地址的变更
2013-01-30
授权
授权
2010-11-24
文件的公告送达 IPC(主分类):G06Q10/00 收件人:北京安天电子设备有限公司 文件名称:发明专利申请公布及进入实质审查通知书 申请日:20100315
文件的公告送达
2010-09-22
实质审查的生效 IPC(主分类):G06Q10/00 申请日:20100315
实质审查的生效
2010-07-28
公开
公开
查看全部
技术领域
本发明涉及电子邮件病毒检测领域,尤其涉及一种在数据包的级别动态检测邮件附件病毒的方法。
背景技术
随着互联网的发展和普及,电子邮件在人们的工作和生活中扮演着日趋重要的角色,成为现代人际交往中最重要的网络工具之一。但与此同时,电子邮件病毒也越来越猖獗,轻则造成用户电脑系统瘫痪,重则导致用户数据资料外泄或被销毁。
简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)是目前广泛使用的互联网邮件传输协议。但SMTP是一个相对简单的基于纯ASCII文本的协议,并不允许在邮件消息中使用ASCII字符集以外的字符。因此,一些非英语字符集消息和二进制文件、图像、声音等非文字信息都不能在电子邮件中发送。
多用途互联网邮件扩展(Multipurpose Internet Mail Extensions,MIME)是一个互联网标准,它扩展了电子邮件标准,使其能够支持非ASCII码字符、二进制格式附件等多种格式的邮件消息。如今,大多数的SMTP服务器都支持MIME扩展,它使各式类型数据的传输变得和纯文本一样简单。
MIME规定了用于表示各种各样的数据类型的符号化方法,包括7bit,8bit,binary,quoted-printable,base64这几种编码方式。二进制文件、图像、声音等非文字信息可通过其中某种编码方式编码成对应的纯文本信息,使得这些非文字信息即可以附件的形式在邮件中进行发送了。
但这却给邮件病毒提供了更多的藏身之所,越来越多的病毒选择隐藏在邮件附件中来进行传播。若用户点击携带了病毒的邮件附件,不仅自身的电脑会由于病毒感染而造成损失,而且病毒会按照用户的通讯录将病毒再传播给其他人,最严重的情况可能会造成整个网络的瘫痪。
在目前通用的杀毒软件中,检测邮件附件是否含有病毒的方法是对已编码的整个附件信息进行解码检测。这样做,有以下两点不足之处:
1.占用较大容量的缓冲区来存储待检测的附件,降低了内存的利用率;
2.必须接收到所有附件信息后,才能进行解码检测,增大子检测到病毒的时延,降低了工作效率;
发明内容
为了克服现有的邮件附件病毒检测技术需占用大量缓冲区的不足点,同时缩小检测出病毒的时延,本发明提供一种在数据包的级别动态检测邮件附件病毒的方法。
本发明解决其技术问题所采用的技术方案是:
一种在数据包的级别动态检测邮件附件病毒的方法,包括:
判断接收到的数据包是否包含附件信息;
查看附件信息所使用的编码方式;
判断该数据包是否是邮件的结束部分;
根据解码后的附件信息长度与预设定的阀值的关系对其进行操作。
本发明提出一种在数据包的级别动态检测邮件附件病毒的方法采用动态检测的思想,接收到一个数据包则解码检测一次,不必等到所有附件信息收集齐全后再集中解码检测。采用这种技术,一方面可减少所需缓冲区的大小,提高内存使用率;另一方面,大大降低了检测出病毒的时延,提高了检测效率。
技术效果
与现有技术相比,本发明具有以下有益效果:
1.不同于现有技术需要大量的缓冲区来存储已接收到的若干个数据包,本方法只需少量的缓冲区间来存储未达到预处理长度的信息,这样提高了内存的利用率;
2.如果先收到的某个数据包中包含病毒,在现有技术下却要等到所有数据包收齐后才能被检测出来,这样增大了检测出病毒的时延且降低了检测效率。但本发明提出的方法是收到一个数据包则解码检测一次,这样大大缩短了检测出病毒的时延,提高了检测效率。
附图说明
图1为本发明所述一种在数据包的级别动态检测邮件附件病毒的方法的具体实施流程图。
具体实施方式
下面结合附图对本发明实施例的技术方案及其技术效果做详细说明。
本发明所述一种在数据包的级别动态检测邮件附件病毒的方法如图1所示,包括如下步骤:
步骤101判断接收的数据包是否包含附件信息:接收到一个数据包后,根据其MIME头部信息来判断包含附件信息的情况;如果含有附件信息,则对该附件信息进行解码。MIME头部信息中的内容处置(Content-Disposition)字段用于指定邮件阅读程序处理数据内容的方式,其有inline和attachment两种标准方式:inline表示直接处理;attachment表示当作附件处理。
在此步骤中,如果将Content-Disposition设置为attachment,那么其后还可以指定filename属性,例如:Content-Dispositon:attachment;filename=“hello.doc”,其中MIME头字段表示MIME消息体的内容为邮件附件,附件名为“hello.doc”。亦即是说,当MIME头部信息中Content-Dispositon的字段为attachment时,则表示信息体为附件信息。
步骤102查看附件信息所使用的编码方式:MIME头部信息中的内容传输编码(Content-Tansfer-Encoding)字段用于指定编码方式。形式如下:Content-Transfer-Encoding:[mechanism];其中mechanism的值可指定为“7bit”、“8bit”、“binary”、“quoted-printable”、“base64”。如果mechanism值为“base64”,那么表示该附件信息是采用“base64”方式编码,则采用“base64”方式解码附件信息。
步骤103判断该数据包是否邮件的结束部分:MIME头部信息中的内容类型(Content-Type)字段中的boundary属性用于定义表示嵌套的各个MIME消息之间的边界标记,每个边界标记都以两个“-”连接符开始;同时,在最后一个MIME段的末端,边界标记不仅以这两个连接符作为开始,而且也以它们作为结束。因此,如果boundary属性值末端连着两个连续的连接符,那么表示该段信息为邮件的结束部分,则直接对其进行检测。
步骤104根据解码后的附加信息长度与预设定的阀值的关系对其进行操作:
设定一个阈值L来表示内存中暂存待检测的附件信息的缓冲区的大小;一般情况下,该阈值L略大于在网络中传输的数据包的长度,但远远小于整个附件信息的长度;
判断解码后的附件信息长度与阈值L的大小关系;
如果该数据包不是邮件的结束部分,则根据解码后的附件信息长度与阈值的大小关系按照不同的顺序进行检测。假定预设定的数据包解码后附件信息长度为L1,暂存在缓冲区中的信息长度为L2;若L1与L2之和小于L,则将其存入内存的缓冲区中,等待下一个数据包到达之后再判断其和与下一个数据包之和是否达到该阈值L;如果达到,则将其与下一个数据包解码后得到的信息一起进行病毒检测;如果L1与L2之和不小于L,则直接检测其是否包含病毒;
如果该数据包为最后一个数据包,则直接解码检测。
步骤105结束。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
机译: 邮件附件病毒检测方法及邮件服务器
机译: 用于检测电子邮件附件中病毒的方法和装置
机译: 用于检测电子邮件附件中病毒的方法和装置
