[发明专利]一种在数据包的级别动态检测邮件附件病毒的方法

说明书

技术领域

本发明涉及电子邮件病毒检测领域，尤其涉及一种在数据包的级别动态检测邮件附件病 毒的方法。

背景技术

随着互联网的发展和普及，电子邮件在人们的工作和生活中扮演着日趋重要的角色，成 为现代人际交往中最重要的网络工具之一。但与此同时，电子邮件病毒也越来越猖獗，轻则 造成用户电脑系统瘫痪，重则导致用户数据资料外泄或被销毁。

简单邮件传输协议(Simple Mail Transfer Protocol，SMTP)是目前广泛使用的互联网 邮件传输协议。但SMTP是一个相对简单的基于纯ASCII文本的协议，并不允许在邮件消息中 使用ASCII字符集以外的字符。因此，一些非英语字符集消息和二进制文件、图像、声音等 非文字信息都不能在电子邮件中发送。

多用途互联网邮件扩展(Multipurpose Internet Mail Extensions，MIME)是一个互联 网标准，它扩展了电子邮件标准，使其能够支持非ASCII码字符、二进制格式附件等多种格 式的邮件消息。如今，大多数的SMTP服务器都支持MIME扩展，它使各式类型数据的传输变 得和纯文本一样简单。

MIME规定了用于表示各种各样的数据类型的符号化方法，包括7bit，8bit，binary， quoted-printable，base64这几种编码方式。二进制文件、图像、声音等非文字信息可通过 其中某种编码方式编码成对应的纯文本信息，使得这些非文字信息即可以附件的形式在邮件 中进行发送了。

但这却给邮件病毒提供了更多的藏身之所，越来越多的病毒选择隐藏在邮件附件中来进 行传播。若用户点击携带了病毒的邮件附件，不仅自身的电脑会由于病毒感染而造成损失， 而且病毒会按照用户的通讯录将病毒再传播给其他人，最严重的情况可能会造成整个网络的 瘫痪。

在目前通用的杀毒软件中，检测邮件附件是否含有病毒的方法是对已编码的整个附件信 息进行解码检测。这样做，有以下两点不足之处：

1.占用较大容量的缓冲区来存储待检测的附件，降低了内存的利用率；

2.必须接收到所有附件信息后，才能进行解码检测，增大子检测到病毒的时延，降低了 工作效率；

发明内容

为了克服现有的邮件附件病毒检测技术需占用大量缓冲区的不足点，同时缩小检测出病 毒的时延，本发明提供一种在数据包的级别动态检测邮件附件病毒的方法。

本发明解决其技术问题所采用的技术方案是：

一种在数据包的级别动态检测邮件附件病毒的方法，包括：

判断接收到的数据包是否包含附件信息；

查看附件信息所使用的编码方式；

判断该数据包是否是邮件的结束部分；

根据解码后的附件信息长度与预设定的阀值的关系对其进行操作。

本发明提出一种在数据包的级别动态检测邮件附件病毒的方法采用动态检测的思想，接 收到一个数据包则解码检测一次，不必等到所有附件信息收集齐全后再集中解码检测。采用 这种技术，一方面可减少所需缓冲区的大小，提高内存使用率；另一方面，大大降低了检测 出病毒的时延，提高了检测效率。

技术效果

与现有技术相比，本发明具有以下有益效果：

1.不同于现有技术需要大量的缓冲区来存储已接收到的若干个数据包，本方法只需少量 的缓冲区间来存储未达到预处理长度的信息，这样提高了内存的利用率；

2.如果先收到的某个数据包中包含病毒，在现有技术下却要等到所有数据包收齐后才能 被检测出来，这样增大了检测出病毒的时延且降低了检测效率。但本发明提出的方法 是收到一个数据包则解码检测一次，这样大大缩短了检测出病毒的时延，提高了检测 效率。

附图说明

图1为本发明所述一种在数据包的级别动态检测邮件附件病毒的方法的具体实施流程图。

具体实施方式

下面结合附图对本发明实施例的技术方案及其技术效果做详细说明。

本发明所述一种在数据包的级别动态检测邮件附件病毒的方法如图1所示，包括如下步 骤：