[发明专利]一种基于附件格式的邮件病毒检测方法和装置

权利要求书

1.一种基于附件格式的邮件病毒检测方法，其特征在于，包括：

步骤a、从网络数据流中获取完整的邮件文件并对邮件协议进行解析，获取所传输的邮件附件；

步骤b、判断所述邮件附件的文件格式并记录其文件格式信息；

步骤c、统计邮件附件中可执行格式的文件的传输次数，如果在设定时间间隔内同一可执行格式的文件重复传输的次数超过阈值，则判定所传输的邮件附件中可执行格式的文件为威胁文件。

2.如权利要求1所述的方法，其特征在于，还包括：从所述威胁文件中提取病毒特征码。

3.如权利要求1所述的方法，其特征在于，步骤b具体包括：判断所述邮件附件的文件格式并记录其文件格式信息；如果所述邮件附件为包裹文件，则对包裹文件解压缩后记录所述包裹中的文件格式信息。

4.如权利要求1所述的方法，其特征在于，步骤c由以下步骤替换：

步骤d、如果在设定时间间隔内所传输的邮件附件中可执行格式的文件的数量占传输的邮件附件数量的比例超出阈值，则判定所传输的邮件附件中可执行格式的文件为威胁文件。

5.如权利要求1所述的方法，其特征在于，步骤c由以下步骤替换：

步骤e、如果在设定时间间隔内传输的邮件附件中可执行格式的文件的数量占传输的邮件数量的比例超出阈值，则判定所传输的邮件附件中可执行格式的文件为威胁文件。

6.一种基于附件格式的邮件病毒检测装置，其特征在于，包括：

解析模块，用于从网络数据流中获取完整的邮件文件并对邮件协议进行解析，获取所传输的邮件附件；

统计模块，用于判断所述邮件附件的文件格式并记录其文件格式信息；

第一判断模块，用于统计邮件附件中可执行格式的文件的传输次数，如果在设定时间间隔内同一可执行格式的文件重复传输的次数超过阈值，则判定所传输的邮件附件中可执行格式的文件为威胁文件。

7.如权利要求6所述的装置，其特征在于，还包括：

规则提取模块，用于从所述威胁文件中提取病毒特征码。

8.如权利要求6所述的装置，其特征在于，所述统计模块具体用于判断所述邮件附件的文件格式并记录其文件格式信息；如果所述邮件附件为包裹文件，则对包裹文件解压缩后记录所述包裹中的文件格式信息。

9.如权利要求6所述的装置，其特征在于，还包括：

第二判断模块，用于如果在设定时间间隔内所传输的邮件附件中可执行格式的文件的数量占传输的邮件附件数量的比例超出阈值，则判定所传输的邮件附件中可执行格式的文件为威胁文件。

10.如权利要求6所述的装置，其特征在于，还包括：

第三判断模块，用于如果在设定时间间隔内传输的邮件附件中可执行格式的文件的数量占传输的邮件数量的比例超出阈值，则判定所传输的邮件附件中可执行格式的文件为威胁文件。