專利名稱::推斷郵件的惡意和檢測(cè)病毒字段的方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及辨別異常電子郵件并確定電子郵件是否感染病毒的方法���,更具體地涉及�,不借助用于垃圾郵件過(guò)濾的數(shù)據(jù)庫(kù)或病毒信息數(shù)據(jù)庫(kù)��,基于根據(jù)邏輯推理規(guī)則的電子郵件包概率數(shù)據(jù)辨別具有可執(zhí)行附件文件的異常電子郵件是否被病毒感染的方法��。
背景技術(shù):
:隨著電子郵件的便利應(yīng)用��、互聯(lián)網(wǎng)的迅速發(fā)展以及互聯(lián)網(wǎng)技術(shù)的發(fā)展�����,通過(guò)電子郵件的網(wǎng)絡(luò)攻擊越來(lái)越多�。例如,許多垃圾郵件都通過(guò)電子郵件發(fā)送�,電子郵件欺詐正在增多,而利用電子郵件傳播病毒也成了日益增長(zhǎng)的問(wèn)題�����。為了反擊這些威脅����,設(shè)計(jì)了垃圾郵件過(guò)濾和反病毒技術(shù)��,但是常規(guī)的對(duì)策僅限基于有關(guān)已知字段的信息發(fā)現(xiàn)危險(xiǎn)電子郵件并且防止其造成危害���。更具體地,當(dāng)用戶將具有特定格式也即擴(kuò)展名或特定電子郵件地址的附件文件放在阻止列表中時(shí)�����,具有所設(shè)格式的附件的電子郵件或發(fā)送自所設(shè)電子郵件地址的電子郵件在此后被分類為垃圾郵件��。此外��,在使用字段匹配的常規(guī)垃圾郵件處理過(guò)程中����,所生成的垃圾郵件的各個(gè)字段被存儲(chǔ)在一個(gè)數(shù)據(jù)庫(kù)中��,且當(dāng)垃圾郵件具有匹配字段時(shí)�,其就被阻擋。以同樣的方式�,病毒簽名被存儲(chǔ)在一個(gè)數(shù)據(jù)庫(kù)中,反病毒程序檢查文件�����,當(dāng)檢測(cè)到病毒簽名時(shí),該文件被確定為已感染病毒�。以同樣方式,當(dāng)檢測(cè)到互聯(lián)網(wǎng)蠕蟲時(shí)�,文件被確定為已感染,并被處理�。然而,常規(guī)技術(shù)僅當(dāng)已知垃圾郵件或病毒簽名的數(shù)據(jù)庫(kù)為最新時(shí)才是有效的�。而且,它們不能處理新的�、未知的垃圾郵件和病毒。因此�,傳統(tǒng)才支術(shù)無(wú)法防舉卩零日漏洞攻擊(zero-dayattack)。
發(fā)明內(nèi)容技術(shù)問(wèn)題本發(fā)明針對(duì)辨別異常電子郵件的方法�,通過(guò)此方法,電子郵件服務(wù)器采用一種安全技術(shù)以有效地使用邏輯推理規(guī)則辨別異常電子郵件�����,并且在由垃圾郵件過(guò)濾器服務(wù)器利用常規(guī)方式執(zhí)行過(guò)濾處理之前處理電子郵件�,從而此方法增強(qiáng)了電子郵件服務(wù)的安全性。本發(fā)明還針對(duì)當(dāng)可執(zhí)行文件附到電子郵件時(shí)���,使用數(shù)據(jù)中相似度的分布而不借助病毒信息數(shù)據(jù)庫(kù)確定所接收的電子郵件是否染有病毒的方法���,從而此方法提供了針對(duì)新病毒的有效保護(hù)���。技術(shù)方案本發(fā)明一方面提供了辨別異常電子郵件的方法,該方法包括如下步驟將收到的電子郵件包解碼成可讀格式���,然后根據(jù)信頭信息分析并分類該包的信頭�����;確定每條被分類的信頭信息是正常還是異常��,并且根據(jù)確定結(jié)果賦予相應(yīng)信頭信息一特定值���;以及根據(jù)邏輯推理規(guī)則���,使用賦予各條信頭信息的特定值辨別異常電子郵件����。此處�,信頭信息可包括郵件信頭H�����、發(fā)信人部分Fr、收信人部分To以及可執(zhí)行附件文件EF的信息�����。當(dāng)信頭信息正常時(shí)�����,可賦予信頭信息特定值1,而當(dāng)信頭信息異常時(shí)��,可賦予信頭信息特定值O。當(dāng)發(fā)信人部分Fr信息正常�、收信人部分To信息和郵件信頭H信息異常、且存在可執(zhí)行附件文件EF時(shí)���,所述邏輯推理規(guī)則將該包所屬于的電子郵件分類為異常����。當(dāng)發(fā)信人部分Fr信息異常、收信人部分To信息正常��、郵件信頭H信息異常�����、且存在可執(zhí)行附件文件EF時(shí)�,所述邏輯推理規(guī)則將該包所屬于的電子郵件分類為異常��。當(dāng)發(fā)信人部分Fr信息和收信人部分To信息異常�、郵件信頭H信息正常��、且存在可執(zhí)行附件文件EF時(shí)���,所述邏輯推理規(guī)則將該包所屬于的電子郵件分類為異常����。當(dāng)發(fā)信人部分Fr信息、收信人部分To信息和郵件信頭H信息異常時(shí)����,所述邏輯推理規(guī)則將該包所屬于的電子郵件分類為異常。本發(fā)明另一方面提供了確定電子郵件是否染有病毒的方法��,包括6如下步驟將收到的電子郵件包解碼成可讀格式��,然后根據(jù)信頭信息分析并分類該包的信頭�����;確定每條被分類的信頭信息是正常還是異常,并且根據(jù)確定結(jié)果賦予相應(yīng)信頭信息一特定值����;根據(jù)邏輯推理規(guī)則,使用賦予各條信頭信息的特定值辨別異常電子郵件���;以及當(dāng)被辨別為異常的電子郵件的信頭信息中有可執(zhí)行附件文件時(shí)���,使用數(shù)據(jù)中相似度的分布確定該異常電子郵件是否染有病毒。此處����,確定異常電子郵件是否染有病毒的步驟可包括如下步驟轉(zhuǎn)化并筒化該可執(zhí)行附件文件的數(shù)據(jù);標(biāo)準(zhǔn)化該可執(zhí)行附件文件的已簡(jiǎn)化的數(shù)據(jù)�;使用該可執(zhí)行附件文件的已標(biāo)準(zhǔn)化的數(shù)據(jù)獲得數(shù)據(jù)中相似度的分布;以及分析所獲得的數(shù)據(jù)中相似度的分布���,且當(dāng)先前設(shè)定的密集分布圖案存在時(shí)�����,確定該可執(zhí)行附件文件染有病毒。數(shù)據(jù)中相似度的分布可通過(guò)如下方式獲得生成所述可執(zhí)行附件文件的標(biāo)準(zhǔn)化數(shù)據(jù)的優(yōu)化的碼映射,然后基于周圍值的平均值構(gòu)建新矩陣���。本發(fā)明又一方面提供了確定電子郵件是否染有病毒的方法��,包括如下步驟標(biāo)準(zhǔn)化該可執(zhí)行附件文件的已簡(jiǎn)化的數(shù)據(jù)�;使用該可執(zhí)行附件文件的已標(biāo)準(zhǔn)化的數(shù)據(jù)獲得數(shù)據(jù)中相似度的分布��;以及分析所獲得的數(shù)據(jù)中相似度的分布���,且當(dāng)先前設(shè)定的密集分布圖案存在時(shí)���,確定該可執(zhí)行附件文件染有病毒。本發(fā)明再一方面提供了存儲(chǔ)能夠執(zhí)行上述分辨異常電子郵件并確定郵件是否染有病毒的方法的程序的記錄介質(zhì)���。有益效果根據(jù)辨別異常電子郵件和確定電子郵件是否感染病毒的創(chuàng)新方法���,不需要用于垃圾郵件過(guò)濾的數(shù)據(jù)庫(kù)或病毒信息數(shù)據(jù)庫(kù)而有效地辨別異常電子郵件,確定電子郵件是否感染了病毒��,從而可能有效地防止新病毒的傳播�。此外,根據(jù)本發(fā)明�,電子郵件服務(wù)器可具有安全技術(shù)并且在垃圾郵件過(guò)濾器服務(wù)器或反病毒服務(wù)器的操作之前的步驟中處理異常電子郵件��,從而能夠更安全地管理郵件服務(wù)器����。圖1是示出了根據(jù)本發(fā)明的示例性實(shí)施方案辨別異常電子郵件并確定是否此異常電子郵件染有病毒的方法的流程圖�����。圖2是示出了應(yīng)用于本發(fā)明的示例性實(shí)施方案的邏輯推理規(guī)則的概念圖3是詳細(xì)示出根據(jù)本發(fā)明的示例性實(shí)施方案確定電子郵件是否染有病毒的方法的流程圖4是詳細(xì)示出根據(jù)本發(fā)明的示例性實(shí)施方案獲得數(shù)據(jù)中相似度的分布的過(guò)程的流程圖5至9是示出根據(jù)本發(fā)明的示例性實(shí)施方案通過(guò)確定電子郵件是否染有病毒的方法來(lái)確定染有病毒的文件的實(shí)際數(shù)據(jù)的圖表��,而圖IO是示出了具有應(yīng)用于本發(fā)明的示例性實(shí)施方案的密集分布圖案的實(shí)際數(shù)據(jù)的圖表�。具體實(shí)施例方式下文中,將詳細(xì)描述本發(fā)明的示例性實(shí)施方案���。然而����,本發(fā)明并不限于下文公開的實(shí)施方案���,且可以各種不同形式實(shí)現(xiàn)�����。描述下列實(shí)施方案是為了使得本領(lǐng)域普通技術(shù)人員能夠?qū)嵤┍景l(fā)明�。圖l是示出了根據(jù)本發(fā)明的示例性實(shí)施方案���,辨別異常電子郵件���,并且確定是否此異常電子郵件染有病毒的方法的流程圖。參見(jiàn)圖1���,當(dāng)收到電子郵件包時(shí)�����,將收到的電子郵件包解碼成可讀格式(步驟100),然后分析電子郵件包的信頭并且根據(jù)信頭信息進(jìn)行分類(步驟200)���。在這里,請(qǐng)求注解(RFC)822����,是標(biāo)準(zhǔn)推薦,通常定義了一種電子郵件格式��。根據(jù)RFC822,將電子郵件分成信頭和信體��,而信頭包括電子郵件的地址��、來(lái)源等。另外���,解碼是將已編碼的電子郵件轉(zhuǎn)換成可讀格式的操作�。通常����,當(dāng)發(fā)信人(originator)發(fā)送電子郵件時(shí),此電子郵件被消息傳送代理(MTA)才艮據(jù)8比特�、引用可印刷(quoted-printable)、基64(base64)等標(biāo)準(zhǔn)轉(zhuǎn)換����,然后傳送。在此����,轉(zhuǎn)換操作被稱為編碼。而收信者(recipient)將已編碼的電子郵件轉(zhuǎn)換回初始格式并閱讀之的過(guò)程則被稱為解碼���。同時(shí)����,在本發(fā)明的示例性實(shí)施方案中使用的信頭信息可包括郵件信頭H�����、發(fā)信人部分Fr、收信人部分To和可執(zhí)行附件文件EF的信息��。然而��,本發(fā)明不被此信頭信息限制��,還可包括通常包括在電子郵件信頭中的多種信息���。隨后,確定在步驟200中分類的每一條(piece)信頭信息是正常還是異常���,也即��,根據(jù)電子郵件包的規(guī)格確定每一條信頭信息是否正常(步驟300)�����,然后根據(jù)確定結(jié)果為相應(yīng)的信頭信息賦予一特定值(步驟400)��。此處�����,當(dāng)信頭信息正常時(shí)����,可賦予信頭信息特定值l,而當(dāng)信頭信息異常時(shí)�,可賦予信頭信息特定值0。隨后使用在步驟400中賦予各條信頭信息的特定值����,根據(jù)下面描述的邏輯推理規(guī)則辨別出異常電子郵件(步驟500)。然后��,當(dāng)在被辨別為異常的電子郵件的信頭信息中有可執(zhí)行附件文件時(shí)�,使用下文毒(步驟600)。同時(shí)����,在本發(fā)明的示例性實(shí)施方案中,僅當(dāng)被辨別為異常的電子郵件附有可執(zhí)行文件時(shí)��,才確定此電子郵件是否染有病毒����。然而,本發(fā)明并不限于此情況。例如���,可以確定是否所有附有可執(zhí)行文件的電子郵件都染有病毒��。最后�����,確定屬于步驟500和600的電子郵件包是將根據(jù)應(yīng)用站點(diǎn)的政策(policy)傳遞�,還是通過(guò)過(guò)濾操作傳遞并移動(dòng)到另一站點(diǎn)�����,等等���,從而處理了該電子郵件包。圖2是示出了應(yīng)用于本發(fā)明的示例性實(shí)施方案的邏輯推理規(guī)則的概念圖�。參見(jiàn)圖2,被應(yīng)用于本發(fā)明示例性實(shí)施方案的邏輯推理規(guī)則,是通過(guò)用于根據(jù)各條信頭信息一一其被賦予特定值即0和1——將電子郵件分類成正?;虍惓5倪壿嬐评矶@得的。更具體地�����,當(dāng)電子郵件發(fā)送者的信息即發(fā)信人部分Fr的信息正確(Fr:l),且電子郵件收信人的信息也即收信人部分To的信息正確9(To:l)時(shí)�,很有可能此電子郵件是正常的,因此將此電子郵件分類為正常�。此外,當(dāng)發(fā)信人部分Fr的信息正確(Fr:i)�����,收信人部分To的信息不正確(To:0)�,且郵件信頭H的信息符合規(guī)格(H:1)時(shí),很有可能此電子郵件是正常的�����,且因此將此電子郵件分類為正常���。此外����,當(dāng)發(fā)信人部分Fr的信息不正確(Fr:0)��,收信人部分To的信息正確(To:1)���,且郵件信頭H的信息符合規(guī)格(H:1)時(shí)����,很有可能此電子郵件是正常的,因此將此電子郵件分類為正常���。此外��,當(dāng)發(fā)信人部分Fr的信息不正確(Fr:0),收信人部分To的信息正確(To:1)��,郵件信頭H的信息不符合規(guī)格(H:0)���,且不存在可執(zhí)行附件文件EF(EF:O)時(shí),很有可能此電子郵件是正常的��,因此將此電子郵件分類為正常����。此外���,當(dāng)發(fā)信人部分Fr的信息不正確(Fr:0),收信人部分To的信息不正確(To:0),郵件信頭H的信息符合規(guī)格(H:1)���,且不存在可執(zhí)行附件文件EF(EF:O)時(shí),很有可能此電子郵件是正常的��,因此將此電子郵件分類為正常。同時(shí)��,當(dāng)發(fā)信人部分Fr的信息正確(Fr:l)��,收信人部分To的信息不正確(To:0)�����,郵件信頭H的信息不符合規(guī)格(H:0),且存在可執(zhí)行附件文件EF(EF:1)時(shí)����,很有可能此電子郵件是異常的,因此將此電子郵件分類為異常��。此外�,當(dāng)發(fā)信人部分Fr的信息不正確(Fr:0),收信人部分To的信息正確(To:1)�����,郵件信頭H的信息不符合規(guī)格(H:0)����,且存在可執(zhí)行附件文件EF(EF:l)時(shí),很有可能此電子郵件是異常的�,因此將此電子郵件分類為異常��。此外�,當(dāng)發(fā)信人部分Fr的信息不正確(Fr:0)���,收信人部分To的信息不正確(To:0)����,郵件信頭H的信息符合規(guī)格(H:1)�,且存在可執(zhí)行附件文件EF(EF:1)時(shí),很有可能此電子郵件是異常的���,且因此將此電子郵件分類為異常��。此外�,當(dāng)發(fā)信人部分Fr的信息不正確(Fr:0),收信人部分To的信息不正確(To:0),郵件信頭H的信息不符合規(guī)格(H:0)時(shí)�,很有可能此電子郵件是異常的,因此將此電子郵件分類為異常����。同時(shí)�,為了確定郵件信頭是正常還是異常,可以確定例如是否存在多重內(nèi)容類型(異?��;蛘?���,郵件信頭H是否多重編碼信頭(異?��;蛘?,郵件信頭H是否多重非平直信頭(異?����;蛘?����,郵件信頭類型是否符合信體類型(異常或正常)���,等等����。此外���,為了確定發(fā)信人部分Fr是正常還是異常�,可以確定例如發(fā)信人的互聯(lián)網(wǎng)協(xié)議(IP)地址的域名是否已存在(正?���;虍惓?����,由發(fā)信人為簡(jiǎn)單郵件傳送協(xié)議(SMTP)設(shè)置的發(fā)信人地址的域名是否使用了域名——也即發(fā)信人是寸吏用了ilf"如inseon.yoo192.168.1.2的IP地址(異常)還是諸如inseon.yoo扭samsung.com(normal)的域名(正常),用于發(fā)信人IP地址的域名和發(fā)信人地址是否彼此符合(正?��;虍惓?����,等等�����。此外�����,為了確定收信人部分To是正常還是異常���,可以確定例如�,收信人是否存在(正?�;虍惓?�����,收信人地址是否正確一一也即是否電子郵件被發(fā)送到固定的IP地址但在郵件部分中卻被輸入了完全不同的地址作為收信人地址(異常)���,是否輸入了IP地址而不是域名作為收信人地址(異常)���,是否收信人部分To為空且電子郵件關(guān)于抄送(Cc)部分或暗送(Bcc)部分不帶域名地發(fā)送(異常),是否收信人部分To和Cc部分為空�����、收信人地址僅在Bcc部分輸入且電子郵件被不帶域名地發(fā)送(異常)��。圖3是詳細(xì)示出根據(jù)本發(fā)明的示例性實(shí)施方案確定電子郵件是否染有病毒的方法的流程圖�。參見(jiàn)圖3,在下文中將描述,當(dāng)可執(zhí)行文件被附到被分類為正?��;虍惓5碾娮余]件時(shí)�����,應(yīng)用于本發(fā)明示例性實(shí)施方案的��、確定是否電子郵件染有病毒的方法�,使用數(shù)據(jù)中相似度的分布確定了附到電子郵件的可執(zhí)行文件是否染有病毒。更具體地��,首先��,通過(guò)數(shù)據(jù)轉(zhuǎn)化操作將可執(zhí)行附件數(shù)據(jù)文件的數(shù)據(jù)簡(jiǎn)化(步驟610)���。此處����,數(shù)據(jù)轉(zhuǎn)化操作是將具有二進(jìn)制格式的可執(zhí)行附件文件的數(shù)據(jù)轉(zhuǎn)化成短整型格式的過(guò)程�����。隨后�,在步驟610中簡(jiǎn)化的可執(zhí)行附件文件的數(shù)據(jù),通過(guò)標(biāo)準(zhǔn)化操作而標(biāo)準(zhǔn)化(步驟620)�����。標(biāo)準(zhǔn)化操作是將可執(zhí)行附件文件的已簡(jiǎn)化數(shù)據(jù)轉(zhuǎn)化成在一特定范圍例如從0到1等之內(nèi)的數(shù)據(jù)的過(guò)程���。隨后����,使用在步驟620標(biāo)準(zhǔn)化的可執(zhí)行附件文件的數(shù)據(jù)��,獲得將在下文描述的數(shù)據(jù)中相似度的分布(步驟630)����。然后,分析所獲得的數(shù)據(jù)中相似度的分布���,且當(dāng)先前設(shè)定的密集分布圖案存在時(shí)����,確定附到電子郵件的可執(zhí)行文件染有病毒(步驟640)����。在此,密集分布圖案表示數(shù)據(jù)密集地集中在特定點(diǎn)之上的圖案����。這樣的密集分布圖案可見(jiàn)于染有病毒的數(shù)據(jù)中。因此���,有可能根據(jù)是否存在這樣的密集分布圖案而輕易地確定可執(zhí)行附件文件是否染有病毒�����。圖4是詳細(xì)示出根據(jù)本發(fā)明的示例性實(shí)施方案獲得數(shù)據(jù)中相似度的分布的過(guò)程的流程圖����。參見(jiàn)圖4,應(yīng)用于本發(fā)明的一示例性實(shí)施方案的數(shù)據(jù)中相似度的分布可通過(guò)多步數(shù)據(jù)計(jì)算過(guò)程而獲得。具體地����,使用普通的自組織映射(SOM)學(xué)習(xí)算法,生成為圖3中在步驟620標(biāo)準(zhǔn)化的可執(zhí)行附件文件的數(shù)據(jù)的密度而優(yōu)化的碼映射�,然后基于周圍值的平均值構(gòu)建新的矩陣,從而獲得了數(shù)據(jù)中相似度的分布��。更具體地����,首先,獲得可執(zhí)行附件文件的標(biāo)準(zhǔn)化數(shù)據(jù)的中值和特征向量(步驟631),然后使用所獲得的中值和特征向量生成碼映射(步驟632)�����。隨后����,使用步驟632中生成的碼映射�����,以可執(zhí)行附件文件的標(biāo)準(zhǔn)化數(shù)據(jù)計(jì)算不同的值��,從而獲得最佳匹配所述標(biāo)準(zhǔn)化數(shù)據(jù)——也即"最佳匹配數(shù)據(jù)"——的矢量(步驟633)�。隨后����,通過(guò)在步驟633獲得的最佳匹配數(shù)據(jù)矢量����,將碼映射改變?yōu)榱硪粋€(gè)映射以重新計(jì)算所有數(shù)據(jù)(步驟634)。然后���,以所述可執(zhí)行附件文件的標(biāo)準(zhǔn)化數(shù)據(jù)重新計(jì)算不同的值��,以及主要存儲(chǔ)相應(yīng)于小差值也即最佳匹配值的值(步驟635)����。隨后��,基于周圍值的平均值而重新組織所有數(shù)據(jù)��,從而構(gòu)建新矩陣(步驟636)。同時(shí)����,步驟631到635采用了普通SOM學(xué)習(xí)算法,其在TeuvoKohonen所著的�����、由Springer-Verlag/>司于1998年在紐約出版的"Self-OrganizationandAssociativeMemory"第三版中��,以及TeuvoKohonen所著的�、由Springer/>司于1995年在柏林和海德堡12出版的"Self-OrganizingMaps"中,得以詳細(xì)描述����,均為著名文件。圖5至9是示出根據(jù)本發(fā)明的示例性實(shí)施方案通過(guò)確定電子郵件是否染有病毒的方法來(lái)確定染有病毒的文件的實(shí)際數(shù)據(jù)的圖表�����。圖5示出了具有從二進(jìn)制格式轉(zhuǎn)換而來(lái)的短整型格式的可執(zhí)行附件文件的數(shù)據(jù)的一部分���。圖6示出了通過(guò)對(duì)在圖5中所示可執(zhí)行附件文件的筒化數(shù)據(jù)作標(biāo)準(zhǔn)化而獲得的數(shù)據(jù)的一部分�����。圖7示出了通過(guò)向圖6的數(shù)據(jù)應(yīng)用SOM算法并且構(gòu)建新矩陣而獲得的一部分?jǐn)?shù)據(jù)��。圖8示出了通過(guò)在圖7中獲得的數(shù)據(jù)值中留下比先前設(shè)定參考值例如72更大的值并且除去其他而獲得數(shù)據(jù)的相似度分布的數(shù)據(jù)���。圖9示出了圖8的數(shù)據(jù)����,其中某些值被字母"S����,�����,替換以便識(shí)別��。圖IO是示出了應(yīng)用于本發(fā)明的示例性實(shí)施方案的具有密集分布圖案的實(shí)際數(shù)據(jù)的圖表���。圖IO的子圖(a)和(b)分別相應(yīng)于圖8和圖9��。當(dāng)圖IO的子圖(b)中方形的四分之三被字母"S"充滿時(shí)��,可確定為密集分布圖案����。與此同時(shí),可以用字母"S"充滿一個(gè)新的矩陣一一其可見(jiàn)在數(shù)據(jù)之中的所有相似度彼此相似���。在此情況下�����,即使字母"S"集中于一點(diǎn)����,也不被確定為密集分布圖案���。如上所述��,本發(fā)明允許電子郵件服務(wù)器檢查是否電子郵件染有病毒以及是否電子郵件包正常�����,并且為異常電子郵件和染有病毒的電子郵件作準(zhǔn)備����。尤其是��,本發(fā)明不僅阻擋染有通過(guò)垃圾郵件或電子郵件傳播的病毒的文件,而且也在不具有特定信息數(shù)據(jù)庫(kù)的情況下處理異常電子郵件包�����。而且��,保護(hù)功能一一其要求了多一個(gè)步驟一_可以增強(qiáng)電子郵件服務(wù)器的安全性�。同時(shí),根據(jù)本發(fā)明的辨別異常電子郵件并確定是否異常電子郵件染有病毒的方法可以以計(jì)算機(jī)代碼的形式存儲(chǔ)在計(jì)算機(jī)可讀記錄介質(zhì)上���。計(jì)算機(jī)可讀記錄介質(zhì)可以是存儲(chǔ)可由計(jì)算機(jī)系統(tǒng)讀取的數(shù)據(jù)的任何記錄i殳備�。例如���,計(jì)算機(jī)可讀記錄介質(zhì)可以是只讀存儲(chǔ)器(ROM),隨機(jī)存取存儲(chǔ)器(RAM),光盤只讀存儲(chǔ)器(CD-ROM),磁帶�,硬盤,軟盤�,移動(dòng)存儲(chǔ)設(shè)備,非易失性存儲(chǔ)器(閃存)����,光學(xué)數(shù)據(jù)存儲(chǔ)設(shè)備,等等���。而且�����,記錄介質(zhì)可以是載波�����,例如�,在互聯(lián)網(wǎng)上的傳播。此外�����,計(jì)算機(jī)可讀記錄介質(zhì)可分布在通過(guò)通信網(wǎng)絡(luò)相連的計(jì)算機(jī)系統(tǒng)中���,并且"可由分散(de-centralized)方法讀取和執(zhí)行的代碼的形式存儲(chǔ)�����。雖然已經(jīng)參照辨別異常電子郵件并且確定異常電子郵件是否感染病毒的方法的某些示例性實(shí)施方案示出并描述了本發(fā)明��,本領(lǐng)域技術(shù)人員將理解在不脫離本發(fā)明的精神和范圍的前提下可以在其中做出各種不同的在形式上和細(xì)節(jié)上的改變����。權(quán)利要求1.一種辨別異常電子郵件的方法,包括如下步驟將收到的電子郵件包解碼成可讀格式��,然后根據(jù)信頭信息分析并分類該包的信頭����;確定每條被分類的信頭信息是正常還是異常,并根據(jù)確定結(jié)果賦予相應(yīng)信頭信息一特定值����;以及根據(jù)邏輯推理規(guī)則,使用賦予各條信頭信息的特定值辨別異常電子郵件��。2.權(quán)利要求1的方法���,其中信頭信息包括郵件信頭H�、發(fā)信人部分Fr�����、收信人部分To以及可執(zhí)行附件文件EF的信息�。3.權(quán)利要求1的方法����,其中當(dāng)信頭信息正常時(shí)�,賦予信頭信息特定值0����,而當(dāng)信頭信息異常時(shí),賦予信頭信息特定值l�����。4.權(quán)利要求1的方法���,其中信頭信息包括郵件信頭H����、發(fā)信人部分Fr��、收信人部分To以及可執(zhí)行附件文件EF的信息���,且當(dāng)發(fā)信人部分Fr信息正常�、收信人部分To信息和郵件信頭H信息異常��、且存在可執(zhí)行附件文件EF時(shí)�,所述邏輯推理規(guī)則將該包所屬于的電子郵件分類為異常。5.權(quán)利要求1的方法,其中信頭信息包括郵件信頭H��、發(fā)信人部分Fr�����、收信人部分To以及可執(zhí)行附件文件EF的信息���,且當(dāng)發(fā)信人部分Fr信息異常��、收信人部分To信息正常�����、郵件信頭H信息異常�����、且存在可執(zhí)行附件文件EF時(shí)��,所述邏輯推理規(guī)則將該包所屬于的電子郵件分類為異常����。6.權(quán)利要求1的方法����,其中信頭信息包括郵件信頭H、發(fā)信人部分Fr���、收信人部分To以及可執(zhí)行附件文件EF的信息��,且當(dāng)發(fā)信人部:分Fr信息和收信人部分To信息異常�����、郵件信頭H信息正常����、且存在可執(zhí)行附件文件EF時(shí)���,所述邏輯推理規(guī)則將該包所屬于的電子郵件分類為異常��。7.權(quán)利要求1的方法�,其中信頭信息包括郵件信頭H���、發(fā)信人部分Fr�、收信人部分To以及可執(zhí)行附件文件EF的信息��,且當(dāng)發(fā)信人部分Fr信息、收信人部分To信息和郵件信頭H信息異常時(shí)��,所述邏輯推理規(guī)則將該包所屬于的電子郵件分類為異常.8.—種確定電子郵件是否染有病毒的方法�,包括如下步驟將收到的電子郵件包解碼成可讀格式,然后根據(jù)信頭信息分析并分類該包的信頭�;確定每條被分類的信頭信息是正常還是異常,并根據(jù)確定結(jié)果賦予相應(yīng)信頭信息一特定值��;根據(jù)邏輯推理規(guī)則�����,使用賦予各條信頭信息的特定值辨別異常電子郵件�;以及當(dāng)被辨別為異常的電子郵件的信頭信息中有可執(zhí)行附件文件時(shí),使用數(shù)據(jù)中相似度的分布確定該異常電子郵件是否染有病毒���。9.權(quán)利要求8的方法�,其中確定異常電子郵件是否染有病毒的步驟包括如下步驟轉(zhuǎn)化并簡(jiǎn)化該可執(zhí)行附件文件的數(shù)據(jù)���;標(biāo)準(zhǔn)化該可執(zhí)行附件文件的已簡(jiǎn)化的數(shù)據(jù)����;使用該可執(zhí)行附件文件的已標(biāo)準(zhǔn)化的數(shù)據(jù)獲得數(shù)據(jù)中相似度的分布���;以及分析所獲得的數(shù)據(jù)中相似度的分布����,且當(dāng)先前設(shè)定的密集分布圖案存在時(shí)��,確定該可執(zhí)行附件文件染有病毒���。10.權(quán)利要求9的方法�,其中數(shù)據(jù)中相似度的分布通過(guò)以下方式獲得生成所述可執(zhí)行附件文件的標(biāo)準(zhǔn)化數(shù)據(jù)的優(yōu)化的碼映射�,然后基于周圍值的平均值構(gòu)建新矩陣。11.權(quán)利要求8的方法���,其中信頭信息包括郵件信頭H�����、發(fā)信人部分Fr���、收信人部分To以及可執(zhí)行附件文件EF的信息。12.權(quán)利要求8的方法���,其中當(dāng)信頭信息正常時(shí)����,賦予信頭信息特定值O,而當(dāng)信頭信息異常時(shí),賦予信頭信息特定值l���。13.權(quán)利要求8的方法��,其中信頭信息包括郵件信頭H��、發(fā)信人部分Fr�����、收信人部分To以及可執(zhí)行附件文件EF的信息����,且當(dāng)發(fā)信人部分Fr信息正常���、收信人部分To信息和郵件信頭H信息異常����、且存在可執(zhí)行附件文件EF時(shí)��,所述邏輯推理規(guī)則將該包所屬于的電子郵件分類為異常�。14.權(quán)利要求8的方法��,其中信頭信息包括郵件信頭H�、發(fā)信人部分Fr�、收信人部分To以及可執(zhí)行附件文件EF的信息,且當(dāng)發(fā)信人部分Fr信息異常�、收信人部分To信息正常、郵件信頭H信息異常�、且存在可執(zhí)行附件文件EF時(shí)��,所述邏輯推理規(guī)則將該包所屬于的電子郵件分類為異常����。15.權(quán)利要求8的方法,其中信頭信息包括郵件信頭H��、發(fā)信人部分Fr�����、收信人部分To以及可執(zhí)行附件文件EF的信息����,且當(dāng)發(fā)信人部分Fr信息和收信人部分To信息異常、郵件信頭H信息正常����、且存在可執(zhí)行附件文件EF時(shí)���,所述邏輯推理規(guī)則將該包所屬于的電子郵件分類為異常。16.權(quán)利要求8的方法���,其中信頭信息包括郵件信頭H���、發(fā)信人部分Fr、收信人部分To以及可執(zhí)行附件文件EF的信息����,且當(dāng)發(fā)信人部分Fr信息、收信人部分To信息和郵件信頭H信息異常時(shí)�,所述邏輯推理規(guī)則將該包所屬于的電子郵件分類為異常。17.—種確定電子郵件是否染有病毒的方法���,包括如下步驟當(dāng)可執(zhí)行文件被附到所接收的電子郵件時(shí)�,轉(zhuǎn)化并簡(jiǎn)化該可執(zhí)行附件文件的數(shù)據(jù)���;標(biāo)準(zhǔn)化該可執(zhí)行附件文件的已筒化的數(shù)據(jù)��;使用該可執(zhí)行附件文件的已標(biāo)準(zhǔn)化的數(shù)據(jù)獲得數(shù)據(jù)中相似度的分布��;以及分析所獲得的數(shù)據(jù)中相似度的分布�����,且當(dāng)先前設(shè)定的密集分布圖案存在時(shí)�����,確定該可執(zhí)行附件文件染有病毒�����。18.權(quán)利要求17的方法�����,其中數(shù)據(jù)中相似度的分布通過(guò)以下方式獲得:生成所述可執(zhí)行附件文件的標(biāo)準(zhǔn)化數(shù)據(jù)的優(yōu)化的碼映射���,然后基于周圍值的平均值構(gòu)建新矩陣。19.存儲(chǔ)能夠執(zhí)行權(quán)利要求1至18中任一項(xiàng)的方法的程序的計(jì)算機(jī)可讀記錄介質(zhì)��。全文摘要提供了辨別異常電子郵件和確定電子郵件是否染有病毒的方法�����。該方法包括如下步驟將收到的電子郵件包解碼成可讀格式,然后根據(jù)信頭信息分析并分類該包的信頭����;確定每條被分類的信頭信息是正常還是異常,并且根據(jù)確定結(jié)果賦予相應(yīng)信頭信息一特定值�����;以及根據(jù)邏輯推理規(guī)則��,使用賦予各條信頭信息的特定值辨別異常電子郵件����,且當(dāng)被辨別為異常的電子郵件的信頭信息中有可執(zhí)行附件文件時(shí),使用數(shù)據(jù)中相似度的分布確定此異常電子郵件是否染有病毒���。此方法有效地分辨異常電子郵件并且不需要垃圾郵件過(guò)濾數(shù)據(jù)庫(kù)或病毒信息數(shù)據(jù)庫(kù)就確定了電子郵件是否染有病毒�,從而能夠阻止新病毒的傳播�。因此,電子郵件服務(wù)器可具有安全技術(shù)并且在垃圾郵件過(guò)濾服務(wù)器或反病毒服務(wù)器的運(yùn)行之前的步驟處理異常電子郵件�,從而有可能更安全地管理郵件服務(wù)器。文檔編號(hào)G06Q10/00GK101632092SQ200680056361公開日2010年1月20日申請(qǐng)日期2006年12月8日優(yōu)先權(quán)日2006年11月13日發(fā)明者愈仁善申請(qǐng)人:三星Sds株式會(huì)社