一種基于附件格式的郵件病毒檢測方法和裝置制造方法
【專利摘要】本發(fā)明公開了一種基于附件格式的郵件病毒檢測方法,包括:從網(wǎng)絡(luò)數(shù)據(jù)流中獲取完整的郵件文件并對(duì)郵件協(xié)議進(jìn)行解析����,獲取所傳輸?shù)泥]件附件;判斷所述郵件附件的文件格式并記錄其文件格式信息���;統(tǒng)計(jì)郵件附件中可執(zhí)行格式的文件的信息����,判斷所傳輸?shù)泥]件附件中可執(zhí)行格式的文件是否為威脅文件��。本發(fā)明還提供了一種基于附件格式的郵件病毒檢測裝置�。本發(fā)明對(duì)郵件附件中PE文件數(shù)的海量統(tǒng)計(jì)學(xué)習(xí),并根據(jù)學(xué)習(xí)到的規(guī)則進(jìn)行檢測���。由于郵件的特殊性����,使這種方法可以有很低的誤報(bào)率���,同時(shí)具有較高的檢出率�����。
【專利說明】一種基于附件格式的郵件病毒檢測方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】�����,尤其涉及一種使用動(dòng)態(tài)智能學(xué)習(xí)方法��,對(duì)郵件附件進(jìn)行病毒檢測的方法和裝置�。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的快速發(fā)展�,利用郵件附件傳播病毒是病毒傳播者常用的手段之一。由于使用郵件附件傳播病毒具備很強(qiáng)的隱蔽性����,對(duì)于郵件附件進(jìn)行病毒檢測是十分重要的。傳統(tǒng)的做法對(duì)郵件進(jìn)行解析��,獲取郵件附件���,使用反病毒軟件對(duì)附件進(jìn)行檢測��。眾所周知�����,傳統(tǒng)的病毒檢測技術(shù)是基于特征碼檢測����,有明顯的滯后性,因此并不能很好的解決這個(gè)問題���。
【發(fā)明內(nèi)容】
[0003]本發(fā)明是依據(jù)郵件附件中PE (Winows下可執(zhí)行文件)的數(shù)量和比例�����,進(jìn)行海量數(shù)據(jù)的統(tǒng)計(jì)����,動(dòng)態(tài)更新PE文件Hash列表庫�����。對(duì)PE數(shù)量和比例超過閾值的郵件進(jìn)行報(bào)警��,從而達(dá)到檢測郵件病毒的目的�����。
[0004]本發(fā)明是對(duì)可執(zhí)行附件進(jìn)行累積計(jì)數(shù),超過閾值則直接判黑(黑�,即有威脅文件)�。具體來說可以是基于可執(zhí)行格式,利用hash計(jì)算重復(fù)次數(shù)�����。
[0005]為了降低誤報(bào)����,規(guī)則本身只用于郵件協(xié)議,即只檢測郵件傳輸數(shù)據(jù)流����;正常郵件的附件很少是可執(zhí)行格式;即使發(fā)送可執(zhí)行文件�,原則上不會(huì)發(fā)生批量大的發(fā)送,因此該方法用于郵件檢測不會(huì)帶來很大誤報(bào)率����。這是一個(gè)動(dòng)態(tài)的、不斷更新的過程�����,能夠?qū)α餍械奈粗牟《居休^好的檢出率。對(duì)于判黑的文件���,即判黑的郵件附件(也是可執(zhí)行文件)提取規(guī)貝U����,所提取的規(guī)則又可用于反病毒引擎判定其他文件��。這是一個(gè)從捕獲到規(guī)則生成的閉環(huán)過程�����。簡單來說����,本發(fā)明主要提供了一種基于附件格式的郵件病毒檢測方法,包括:
步驟a�、從網(wǎng)絡(luò)數(shù)據(jù)流中獲取完整的郵件文件并對(duì)郵件協(xié)議進(jìn)行解析,獲取所傳輸?shù)泥]件附件�����;
步驟b�、判斷所述郵件附件的文件格式并記錄其文件格式信息;
步驟C�����、統(tǒng)計(jì)郵件附件中可執(zhí)行格式的文件的傳輸次數(shù),如果在設(shè)定時(shí)間間隔內(nèi)同一可執(zhí)行格式的文件重復(fù)出現(xiàn)��、重復(fù)傳輸?shù)拇螖?shù)超過閾值�,則判定所傳輸?shù)泥]件附件中可執(zhí)行格式的文件為威脅文件����。
[0006]本發(fā)明還提供了一種基于附件格式的郵件病毒檢測裝置,包括:
解析模塊����,用于從網(wǎng)絡(luò)數(shù)據(jù)流中獲取完整的郵件文件并對(duì)郵件協(xié)議進(jìn)行解析,獲取所傳輸?shù)泥]件附件�����;
統(tǒng)計(jì)模塊�����,用于判斷所述郵件附件的文件格式并記錄其文件格式信息����;
第一判斷模塊���,用于統(tǒng)計(jì)郵件附件中可執(zhí)行格式的文件的傳輸次數(shù),如果在設(shè)定時(shí)間間隔內(nèi)同一可執(zhí)行格式的文件重復(fù)出現(xiàn)�、重復(fù)傳輸?shù)拇螖?shù)超過閾值,則判定所傳輸?shù)泥]件附件中可執(zhí)行格式的文件為威脅文件�。[0007]本發(fā)明的關(guān)鍵在于基于海量數(shù)據(jù)的統(tǒng)計(jì)學(xué)習(xí),對(duì)郵件中附件PE文件數(shù)進(jìn)行統(tǒng)計(jì)��,對(duì)高于危險(xiǎn)閾值的郵件進(jìn)行報(bào)警�。并且定期更新危險(xiǎn)閾值。還可以基于海量統(tǒng)計(jì)���,對(duì)郵件附件中PE文件數(shù)的比例高于危險(xiǎn)閾值進(jìn)行報(bào)警�����。并且定期更新危險(xiǎn)閾值�。
[0008]本發(fā)明的有益效果是:
本發(fā)明對(duì)郵件附件中PE文件數(shù)的海量統(tǒng)計(jì)���,并根據(jù)統(tǒng)計(jì)的規(guī)則進(jìn)行檢測����。由于郵件的特殊性,使這種方法可以有很低的誤報(bào)率���,同時(shí)具有較高的檢出率���。本發(fā)明的所有閾值,可以通過動(dòng)態(tài)統(tǒng)計(jì)學(xué)習(xí)進(jìn)行更新�,可以保證對(duì)當(dāng)前較為流行的病毒有較好的檢出率。
【專利附圖】
【附圖說明】
[0009]為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�����,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例�����,對(duì)于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動(dòng)的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖��。
[0010]圖1為本發(fā)明基于附件格式的郵件病毒檢測方法實(shí)施例流程圖��;
圖2為本發(fā)明基于附件格式的郵件病毒檢測方法另一實(shí)施例流程圖����;
圖3為本發(fā)明基于附件格式的郵件病毒檢測方法另一實(shí)施例流程圖;
圖4為本發(fā)明基于附件格式的郵件病毒檢測裝置結(jié)構(gòu)示意圖�。
【具體實(shí)施方式】
[0011]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案,并使本發(fā)明的上述目的�����、特征和優(yōu)點(diǎn)能夠更加明顯易懂���,下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明�����。
[0012]如圖1所示�����,本發(fā)明的方法實(shí)施例之一�,如圖所示:
SlOl:從網(wǎng)絡(luò)數(shù)據(jù)流中獲取郵件數(shù)據(jù)流,從所述郵件數(shù)據(jù)流中獲取郵件附件信
息����;
可以應(yīng)用到網(wǎng)關(guān)等設(shè)備,可以使用Pcap等捕包工具�����,根據(jù)郵件格式拆分出郵件附件����。
[0013]S102:根據(jù)所述郵件附件信息判斷所述郵件附件的文件格式,記錄所述郵件附件的文件格式信息�����;
如果所述郵件附件為包裹文件��,則對(duì)包裹文件解壓縮后記錄所述包裹中的文件格式信
肩���、O
[0014]獲取郵件附件中的全部PE文件之后,計(jì)算該文件的Hash(散列)值�����。可以選擇MD5��、SHAl等碰撞率較低的散列算法�����。然后Hash值記錄到數(shù)據(jù)存儲(chǔ)中(例如數(shù)據(jù)庫)�。
[0015]S103:統(tǒng)計(jì)傳輸?shù)泥]件附件中可執(zhí)行格式的文件的傳輸次數(shù),如果在設(shè)定時(shí)間間隔內(nèi)一個(gè)可執(zhí)行格式的文件重復(fù)傳輸?shù)拇螖?shù)超過閾值����,則判定所傳輸?shù)泥]件附件為威脅文件。
[0016]根據(jù)數(shù)據(jù)庫中的記錄����,統(tǒng)計(jì)Hash出現(xiàn)的次數(shù)(即同一可執(zhí)行格式的文件重復(fù)傳輸?shù)拇螖?shù)),如果Hash出現(xiàn)的次數(shù)超過危險(xiǎn)閾值�,則判定為有威脅的文件。所提到的閾值�����,是基于海量數(shù)據(jù)統(tǒng)計(jì)得出���,并會(huì)不斷動(dòng)態(tài)更新�。
[0017]另外根據(jù)實(shí)際情況,本發(fā)明還有別的變形���,如圖2�����、3所示�,步驟201��、步驟202以及步驟301��、步驟302與實(shí)施例1中的步驟SlOl�����、S102相同����,主要區(qū)別在于步驟S203與步驟S103有所不同�����,步驟S301與步驟SlOl不同���,具體來說�����,如圖2所示:
S203��、如果在設(shè)定時(shí)間間隔內(nèi)所傳輸?shù)泥]件附件中可執(zhí)行格式的文件的數(shù)量占傳輸?shù)泥]件附件數(shù)量的比例超出閾值����,則判定所傳輸?shù)泥]件附件中可執(zhí)行格式的文件為威脅文件。
[0018]由于如果PE文件是病毒則在傳輸過程中部分內(nèi)容會(huì)發(fā)生變化��,散列值會(huì)發(fā)生變化��,這樣就無法使用hash來統(tǒng)計(jì)���,因此可以進(jìn)而統(tǒng)計(jì)PE文件的比例�,這個(gè)比例可以是一個(gè)時(shí)間段滾動(dòng)統(tǒng)計(jì)��,比如原本可執(zhí)行文件的比例是萬分之一��,忽然變成萬分之一百�,則可執(zhí)行文件的危險(xiǎn)性極高。這個(gè)比例可以是總的郵件和帶PE附件的郵件�����,也可以是帶附件的郵件和帶PE附件的郵件,例如圖3中:
S303�����、如果在設(shè)定時(shí)間間隔內(nèi)傳輸?shù)泥]件附件中可執(zhí)行格式的文件的數(shù)量占傳輸?shù)泥]件數(shù)量的比例超出閾值����,則判定所傳輸?shù)泥]件附件中可執(zhí)行格式的文件為威脅文件。
[0019]另外����,對(duì)于上述三個(gè)實(shí)施例,判定出威脅文件之后�,可以從威脅文件中提取規(guī)則,即提取病毒特征碼�,可用于反病毒引擎判定其他文件。
[0020]并且�,在步驟SlOl和步驟102之間(實(shí)施例2和3同理),還可以先行對(duì)所得到的附件進(jìn)行病毒檢測����,若檢測結(jié)果為有威脅的文件�,則可以直接告警�。
[0021]本發(fā)明還提供了一種基于附件格式的郵件病毒檢測裝置����,包括:
解析模塊101,用于從網(wǎng)絡(luò)數(shù)據(jù)流中獲取完整的郵件文件并對(duì)郵件協(xié)議進(jìn)行解析�����,獲取所傳輸?shù)泥]件附件����;
統(tǒng)計(jì)模塊102,用于判斷所述郵件附件的文件格式并記錄其文件格式信息�;
第一判斷模塊103,用于統(tǒng)計(jì)郵件附件中可執(zhí)行格式的文件的傳輸次數(shù)����,如果在設(shè)定時(shí)間間隔內(nèi)一個(gè)可執(zhí)行格式的文件重復(fù)出現(xiàn)的次數(shù)超過閾值,則判定所傳輸?shù)泥]件附件中可執(zhí)行格式的文件為威脅文件第二判斷模塊�,用于如果在設(shè)定時(shí)間間隔內(nèi)所傳輸?shù)泥]件附件中可執(zhí)行格式的文件的數(shù)量占傳輸?shù)泥]件附件數(shù)量的比例超出閾值,則判定所傳輸?shù)泥]件附件中可執(zhí)行格式的文件為威脅文件�����;
第二判斷模塊104�����,用于如果在設(shè)定時(shí)間間隔內(nèi)所傳輸?shù)泥]件附件中可執(zhí)行格式的文件的數(shù)量占傳輸?shù)泥]件附件數(shù)量的比例超出閾值,則判定所傳輸?shù)泥]件附件中可執(zhí)行格式的文件為威脅文件�����;
第三判斷模塊105���,用于如果在設(shè)定時(shí)間間隔內(nèi)傳輸?shù)泥]件附件中可執(zhí)行格式的文件的數(shù)量占傳輸?shù)泥]件數(shù)量的比例超出閾值��,則判定所傳輸?shù)泥]件附件中可執(zhí)行格式的文件為威脅文件�����;
規(guī)則提取模塊106���,用于從所述威脅文件中提取病毒特征碼。
[0022]本說明書中方法的實(shí)施例采用并列的方式描述�,對(duì)于系統(tǒng)實(shí)施例而言,由于其基本相似于方法實(shí)施例����,所以描述的比較簡單,相關(guān)之處參見方法實(shí)施例的部分說明即可。
[0023]雖然通過實(shí)施例描繪了本發(fā)明�,本領(lǐng)域普通技術(shù)人員知道,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神��,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神��。
【權(quán)利要求】
1.一種基于附件格式的郵件病毒檢測方法���,其特征在于,包括: 步驟a���、從網(wǎng)絡(luò)數(shù)據(jù)流中獲取完整的郵件文件并對(duì)郵件協(xié)議進(jìn)行解析�����,獲取所傳輸?shù)泥]件附件���; 步驟b、判斷所述郵件附件的文件格式并記錄其文件格式信息�; 步驟C、統(tǒng)計(jì)郵件附件中可執(zhí)行格式的文件的傳輸次數(shù)�����,如果在設(shè)定時(shí)間間隔內(nèi)同一可執(zhí)行格式的文件重復(fù)傳輸?shù)拇螖?shù)超過閾值,則判定所傳輸?shù)泥]件附件中可執(zhí)行格式的文件為威脅文件���。
2.如權(quán)利要求1所述的方法��,其特征在于��,還包括:從所述威脅文件中提取病毒特征碼����。
3.如權(quán)利要求1所述的方法��,其特征在于����,步驟b具體包括:判斷所述郵件附件的文件格式并記錄其文件格式信息;如果所述郵件附件為包裹文件�,則對(duì)包裹文件解壓縮后記錄所述包裹中的文件格式信息。
4.如權(quán)利要求1所述的方法�,其特征在于,步驟c由以下步驟替換: 步驟d���、如果在設(shè)定時(shí)間間隔內(nèi)所傳輸?shù)泥]件附件中可執(zhí)行格式的文件的數(shù)量占傳輸?shù)泥]件附件數(shù)量的比例超出閾值�����,則判定所傳輸?shù)泥]件附件中可執(zhí)行格式的文件為威脅文件�����。
5.如權(quán)利要求1所述的方法���,其特征在于,步驟c由以下步驟替換: 步驟e��、如果在設(shè)定時(shí)間間隔內(nèi)傳輸?shù)泥]件附件中可執(zhí)行格式的文件的數(shù)量占傳輸?shù)泥]件數(shù)量的比例超出閾值��,則判定所傳輸?shù)泥]件附件中可執(zhí)行格式的文件為威脅文件��。
6.一種基于附件格式的郵件病毒檢測裝置����,其特征在于,包括: 解析模塊��,用于從網(wǎng)絡(luò)數(shù)據(jù)流中獲取完整的郵件文件并對(duì)郵件協(xié)議進(jìn)行解析����,獲取所傳輸?shù)泥]件附件; 統(tǒng)計(jì)模塊�,用于判斷所述郵件附件的文件格式并記錄其文件格式信息; 第一判斷模塊,用于統(tǒng)計(jì)郵件附件中可執(zhí)行格式的文件的傳輸次數(shù)���,如果在設(shè)定時(shí)間間隔內(nèi)同一可執(zhí)行格式的文件重復(fù)傳輸?shù)拇螖?shù)超過閾值����,則判定所傳輸?shù)泥]件附件中可執(zhí)行格式的文件為威脅文件����。
7.如權(quán)利要求6所述的裝置,其特征在于��,還包括: 規(guī)則提取模塊��,用于從所述威脅文件中提取病毒特征碼����。
8.如權(quán)利要求6所述的裝置,其特征在于�����,所述統(tǒng)計(jì)模塊具體用于判斷所述郵件附件的文件格式并記錄其文件格式信息����;如果所述郵件附件為包裹文件�����,則對(duì)包裹文件解壓縮后記錄所述包裹中的文件格式信息���。
9.如權(quán)利要求6所述的裝置,其特征在于���,還包括: 第二判斷模塊�����,用于如果在設(shè)定時(shí)間間隔內(nèi)所傳輸?shù)泥]件附件中可執(zhí)行格式的文件的數(shù)量占傳輸?shù)泥]件附件數(shù)量的比例超出閾值,則判定所傳輸?shù)泥]件附件中可執(zhí)行格式的文件為威脅文件��。
10.如權(quán)利要求6所述的裝置�����,其特征在于�,還包括: 第三判斷模塊,用于如果在設(shè)定時(shí)間間隔內(nèi)傳輸?shù)泥]件附件中可執(zhí)行格式的文件的數(shù)量占傳輸?shù)泥]件數(shù)量的比例超出閾值��,則判定所傳輸?shù)泥]件附件中可執(zhí)行格式的文件為威脅文件�。
【文檔編號(hào)】H04L29/06GK103546449SQ201210564964
【公開日】2014年1月29日 申請(qǐng)日期:2012年12月24日 優(yōu)先權(quán)日:2012年12月24日
【發(fā)明者】肖新光, 童志明, 沈長偉, 張栗偉 申請(qǐng)人:哈爾濱安天科技股份有限公司