本申请涉及网络安全
技术领域:
:,尤其涉及一种识别邮件病毒的方法和装置。
背景技术:
::邮件病毒是通过电子邮件的方式进行传播、扩散的电脑病毒,邮件病毒主要会在用户浏览邮件附件或者下载邮件附件时侵入到电脑中,破坏用户的系统、磁盘文件等,影响用户的生活和工作,甚至造成严重的损失。在网络中,电子邮件以ascii字符的形式传送邮件协议报文,非ascii字符的数据需要利用各种编码格式转换成ascii字符后才能传送,因此,邮件病毒也经过编码转换成了ascii字符。为了识别邮件病毒,需要对每一封电子邮件协议报文中包含附件内容的报文进行解码还原,然后就能从还原的报文明文中查找病毒特征,识别邮件病毒。然而,由于要对每一封电子邮件的包含附件内容的报文进行解码,还原报文明文,所以识别效率比较低,并且每次解码还原过程都会占用一定cpu资源,造成cpu资源浪费。技术实现要素:有鉴于此,本申请提供一种识别邮件病毒的方法,以解决对每一封电子邮件识别邮件病毒过程中解码还原,导致的识别效率低下和浪费cpu资源的问题。具体地,本申请是通过如下技术方案实现的:一种识别邮件病毒的方法,其特征在于,包括:预先将已知的邮件病毒特征的明文通过编码格式生成对应的邮件病毒特的编码,储存于编码特征库;所述编码格式为将邮件信息编码为邮件协议报文所使用的编码格式;当接收到电子邮件时,识别邮件协议报文中是否存在与编码特征库中的编码一致的报文片段;若邮件协议报文存在与编码特征库中的编码一致的报文片段,则确认所述电子邮件存在邮件病毒。本申请还提供一种识别邮件病毒的装置,其特征在于,包括:特征库单元,用于预先将已知的邮件病毒特征的明文通过编码格式生成对应的邮件病毒特征的编码,储存于编码特征库;所述编码格式为将邮件信息编码为邮件协议报文所使用的编码格式;识别单元,用于当接收到电子邮件时,识别邮件协议报文中是否存在与编码特征库中的编码一致的报文片段;确认单元,用于若邮件协议报文存在与编码特征库中的编码一致的报文片段,则确认所述电子邮件存在邮件病毒。由以上技术方案可以看出,本申请预先设置一个储存邮件病毒特征的编码的数据库,将邮件病毒特征的明文通过编码格式生成对应的编码,储存于编码特征库,在识别邮件病毒时,可以直接识别邮件协议报文中是否有邮件病毒特征的编码,不用每次都对邮件协议报文进行解码,提高识别效率,减少cpu资源的占用。附图说明图1是本申请一示例性实施例示出的一种识别邮件病毒的方法的流程示意图;图2是本申请一示例性实施例示出的一种识别邮件病毒的装置的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。由于当前网络安全形势严峻,人们在通过电子邮件获取大量信息以及更高效的交流的同时,往往会受到邮件病毒的恶意攻击,“邮件病毒”其实和普通的电脑病毒一样,只不过由于它们的传播途径主要是通过电子邮件,所以才被称为“邮件病毒”。邮件病毒的危害十分巨大,邮件病毒如果处理不好的话会对用户的计算机系统甚至是工作都会产生极大的危害。邮件病毒主要会在用户浏览邮件附件或者下载邮件附件时侵入到电脑中,破坏用户的系统、磁盘文件等,影响用户的生活和工作,甚至造成严重的损失。在网络中,电子邮件以ascii字符的形式传送邮件协议报文,非ascii字符的形式的文件在传送过程中就需要先编成ascii字符的形式,然后才能通过电子邮件进行传送;如果不经过编码,则在传送过程中会因为ascii字符的形式的限制而被分解,分解之后只会让收信方看到一堆杂乱的ascii字符。编码格式包括但不限于base64、quoted-printable、unicode、binhex和uuencode。由于编码传送的原因,邮件病毒也经过编码转换成了ascii字符。目前为了识别邮件病毒,需要对每一封电子邮件协议报文中包含附件内容的报文进行解码还原,然后就能从还原的报文明文中查找病毒特征,识别邮件病毒。要知道,电子邮件的编码和解码都会占用大量的cpu资源,在邮件病毒的识别过程中,需要对每一封电子邮件都进行识别,对每一封电子邮件包含附件内容的报文进行解码,还原报文明文,所以识别效率比较低,还会造成cpu资源浪费。针对上述问题,本申请提出一种识别邮件病毒的方法,该方法预先设置一个储存邮件病毒特征的编码的数据库,储存有邮件病毒特征的编码,在识别邮件病毒时,可以直接识别邮件协议报文中是否有邮件病毒特征的编码,不用每次都对邮件协议报文进行解码,这一方法提高了识别效率,减少cpu资源的占用。为了使本
技术领域:
:的人员更好地理解本申请实施例中的技术方案,将结合以下附图对本申请实施例中技术方案作进一步详细的说明。图1是本申请一示例性实施例示出的一种识别邮件病毒的方法的流程示意图。如图1所示,该方法包括如下步骤:步骤101,预先将已知的邮件病毒特征的明文通过编码格式生成对应的邮件病毒特征的编码,储存于编码特征库;所述编码格式为将邮件信息编码为邮件协议报文所使用的编码格式。与现有技术不同的是,本申请考虑到电子邮件的解码会占用大量的cpu资源,需要解决每一封电子邮件都进行解码还原的问题。可以通过建立编码特征库的方法,预先将邮件病毒特征的明文通过编码格式生成对应的邮件病毒特征的编码,储存于编码特征库。因为是预先进行的明文编码操作,以后只需要调用编码特征库里面的编码,不用再解码,避免了每一封电子邮件都进行解码还原的问题。步骤102,当接收到电子邮件时,识别邮件协议报文中是否存在与编码特征库中的编码一致的报文片段。在网络中,电子邮件的文字、数字或者其他对象信息都经过了编码,以ascii字符的形式传送邮件协议报文,邮件病毒隐藏在其中,所以为了识别电子邮件中是否隐藏有邮件病毒,就要识别邮件协议报文中是否含有邮件病毒特征的编码。经过步骤101,邮件病毒特征的编码储存于编码特征库中,只需要将邮件协议报文的报文片段与编码特征库中的编码进行对比查找,识别是否有与编码特征库中的编码一致的报文片段。步骤103,若邮件协议报文存在与编码特征库中的编码一致的报文片段,则确认所述电子邮件存在邮件病毒。从步骤102可知,通过将邮件协议报文的报文片段与编码特征库中的编码进行对比查找,如果能够找到与编码特征库中的编码一致的报文片段,就可以确认邮件协议报文中含有邮件病毒特征的编码,则确认电子邮件存在邮件病毒。作为一种实施方式,上述方法还可以包括:当接收到电子邮件时,判断所述电子邮件中是否携带附件;若所述电子邮件携带附件,则识别邮件协议报文中附件部分的报文是否存在与编码特征库中的编码一致的报文片段。电子邮件附件是随电子邮件一起发送的文件。大部分情况中,邮件病毒会依附电子邮件附件传播。针对这一情况,优选的,当接收到电子邮件时,可以首先判断一下,所述电子邮件是否携带了附件,如果所述电子邮件携带附件,我们就可以只对邮件协议报文中附件部分的报文进行查找对比,识别邮件协议报文中附件部分的报文是否存在与编码特征库中的编码一致的报文片段。在这一实施方式中,可以减少识别的工作量,进一步节省识别时所消耗的cpu资源,提高效率。作为一种实施方式,上述方法还可以包括:当接收到电子邮件时,判断所述电子邮件中是否包含图片;若所述电子邮件包含图片,则识别邮件协议报文中图片部分的报文是否存在与编码特征库中的编码一致的报文片段。在电子邮件中插入非附件形式的图片也是现在电子邮件的常用功能,随电子邮件一起发送。有些情况中,邮件病毒也会被设置成图片的形式,依附电子邮件传播。针对这一情况,优选的,当接收到电子邮件时,可以首先判断一下,所述电子邮件是否携带了图片,如果所述电子邮件携带图片,我们就可以只对邮件协议报文中图片部分的报文进行查找对比,识别邮件协议报文中图片部分的报文是否存在与编码特征库中的编码一致的报文片段。同样的,在这一实施方式中,可以减少识别的工作量,进一步节省识别时所消耗的cpu资源,提高效率。作为一种实施方式,上述方法还可以包括:获得新的已知的邮件病毒特征,将新的已知的邮件病毒特征的明文通过编码格式生成对应的邮件病毒特的编码,储存于编码特征库。随着信息技术的发展,计算机病毒的发展愈发成熟繁荣,邮件病毒作为计算机病毒的一种,其更新和传播手段也在不断变化。为了确保病毒能够被识别,就需要保证编码特征库也能根据最近流行病毒的情况,随时更新,当出现新的已知的邮件病毒特征时,可以从网络中自动获取,或者是根据用户的设置,将新的已知的邮件病毒特征的明文通过编码格式生成对应的邮件病毒特的编码,储存于编码特征库。与前述识别邮件病毒的方法实施例相对应,本申请还提供了识别邮件病毒的装置实施例。请参见图2,为本申请一示例性实施例示出的一种识别邮件病毒的装置的结构示意图,其中,所述装置可以应用于可以上述方法实施例中的网络设备,如图2所示,该识别邮件病毒的装置可以包括:特征库单元201,用于预先将已知的邮件病毒特征的明文通过编码格式生成对应的邮件病毒特征的编码,储存于编码特征库;所述编码格式为将邮件信息编码为邮件协议报文所使用的编码格式;识别单元202,用于当接收到电子邮件时,识别邮件协议报文中是否存在与编码特征库中的编码一致的报文片段;确认单元203,用于若邮件协议报文存在与编码特征库中的编码一致的报文片段,则确认所述电子邮件存在邮件病毒。进一步地,所述识别单元202包括:第一判断子单元,用于当接收到电子邮件时,判断所述电子邮件中是否携带附件;第一识别子单元,用于若所述电子邮件携带附件,则识别邮件协议报文中附件部分的报文是否存在与编码特征库中的编码一致的报文片段。进一步地,所述识别单元202包括:第二判断子单元,用于当接收到电子邮件时,判断所述电子邮件中是否包含图片;第二识别子单元,用于若所述电子邮件包含图片,则识别邮件协议报文中图片部分的报文是否存在与编码特征库中的编码一致的报文片段。进一步地,所述装置还包括:更新单元,用于获得新的已知的邮件病毒特征,将新的已知的邮件病毒特征的明文通过编码格式生成对应的邮件病毒特的编码,储存于编码特征库。上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。当前第1页12当前第1页12