技術(shù)領(lǐng)域

本發(fā)明涉及計算機網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種使用動態(tài)智能學(xué)習(xí)方法，對郵件附件進行病毒檢測的方法和裝置。

背景技術(shù)

隨著互聯(lián)網(wǎng)的快速發(fā)展，利用郵件附件傳播病毒是病毒傳播者常用的手段之一。由于使用郵件附件傳播病毒具備很強的隱蔽性，對于郵件附件進行病毒檢測是十分重要的。傳統(tǒng)的做法對郵件進行解析，獲取郵件附件，使用反病毒軟件對附件進行檢測。眾所周知，傳統(tǒng)的病毒檢測技術(shù)是基于特征碼檢測，有明顯的滯后性，因此并不能很好的解決這個問題。

發(fā)明內(nèi)容

本發(fā)明是依據(jù)郵件附件中PE（Winows下可執(zhí)行文件）的數(shù)量和比例，進行海量數(shù)據(jù)的統(tǒng)計，動態(tài)更新PE文件Hash列表庫。對PE數(shù)量和比例超過閾值的郵件進行報警，從而達到檢測郵件病毒的目的。

本發(fā)明是對可執(zhí)行附件進行累積計數(shù)，超過閾值則直接判黑（黑，即有威脅文件）。具體來說可以是基于可執(zhí)行格式，利用hash計算重復(fù)次數(shù)。

為了降低誤報，規(guī)則本身只用于郵件協(xié)議，即只檢測郵件傳輸數(shù)據(jù)流；正常郵件的附件很少是可執(zhí)行格式；即使發(fā)送可執(zhí)行文件，原則上不會發(fā)生批量大的發(fā)送，因此該方法用于郵件檢測不會帶來很大誤報率。這是一個動態(tài)的、不斷更新的過程，能夠?qū)α餍械奈粗牟《居休^好的檢出率。對于判黑的文件，即判黑的郵件附件（也是可執(zhí)行文件）提取規(guī)則，所提取的規(guī)則又可用于反病毒引擎判定其他文件。這是一個從捕獲到規(guī)則生成的閉環(huán)過程。簡單來說，本發(fā)明主要提供了一種基于附件格式的郵件病毒檢測方法，包括：

步驟a、從網(wǎng)絡(luò)數(shù)據(jù)流中獲取完整的郵件文件并對郵件協(xié)議進行解析，獲取所傳輸?shù)泥]件附件；

步驟b、判斷所述郵件附件的文件格式并記錄其文件格式信息；

步驟c、統(tǒng)計郵件附件中可執(zhí)行格式的文件的傳輸次數(shù)，如果在設(shè)定時間間隔內(nèi)同一可執(zhí)行格式的文件重復(fù)出現(xiàn)、重復(fù)傳輸?shù)拇螖?shù)超過閾值，則判定所傳輸?shù)泥]件附件中可執(zhí)行格式的文件為威脅文件。

本發(fā)明還提供了一種基于附件格式的郵件病毒檢測裝置，包括：

解析模塊，用于從網(wǎng)絡(luò)數(shù)據(jù)流中獲取完整的郵件文件并對郵件協(xié)議進行解析，獲取所傳輸?shù)泥]件附件；

統(tǒng)計模塊，用于判斷所述郵件附件的文件格式并記錄其文件格式信息；

第一判斷模塊，用于統(tǒng)計郵件附件中可執(zhí)行格式的文件的傳輸次數(shù)，如果在設(shè)定時間間隔內(nèi)同一可執(zhí)行格式的文件重復(fù)出現(xiàn)、重復(fù)傳輸?shù)拇螖?shù)超過閾值，則判定所傳輸?shù)泥]件附件中可執(zhí)行格式的文件為威脅文件。

本發(fā)明的關(guān)鍵在于基于海量數(shù)據(jù)的統(tǒng)計學(xué)習(xí)，對郵件中附件PE文件數(shù)進行統(tǒng)計，對高于危險閾值的郵件進行報警。并且定期更新危險閾值。還可以基于海量統(tǒng)計，對郵件附件中PE文件數(shù)的比例高于危險閾值進行報警。并且定期更新危險閾值。

本發(fā)明的有益效果是：

本發(fā)明對郵件附件中PE文件數(shù)的海量統(tǒng)計，并根據(jù)統(tǒng)計的規(guī)則進行檢測。由于郵件的特殊性，使這種方法可以有很低的誤報率，同時具有較高的檢出率。本發(fā)明的所有閾值，可以通過動態(tài)統(tǒng)計學(xué)習(xí)進行更新，可以保證對當(dāng)前較為流行的病毒有較好的檢出率。

附圖說明

為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明基于附件格式的郵件病毒檢測方法實施例流程圖；

圖2為本發(fā)明基于附件格式的郵件病毒檢測方法另一實施例流程圖；

圖3為本發(fā)明基于附件格式的郵件病毒檢測方法另一實施例流程圖；

圖4為本發(fā)明基于附件格式的郵件病毒檢測裝置結(jié)構(gòu)示意圖。

具體實施方式

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂，下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進一步詳細的說明。

如圖1所示，本發(fā)明的方法實施例之一，如圖所示：

S101:?????從網(wǎng)絡(luò)數(shù)據(jù)流中獲取郵件數(shù)據(jù)流，從所述郵件數(shù)據(jù)流中獲取郵件附件信息；

可以應(yīng)用到網(wǎng)關(guān)等設(shè)備，可以使用Pcap等捕包工具，根據(jù)郵件格式拆分出郵件附件。

S102：根據(jù)所述郵件附件信息判斷所述郵件附件的文件格式，記錄所述郵件附件的文件格式信息；

如果所述郵件附件為包裹文件，則對包裹文件解壓縮后記錄所述包裹中的文件格式信息。