淺談基于異常檢測的郵件病毒防治策略

方　智

摘要:當前,利用網(wǎng)絡(luò)進行傳播的病毒已成為互聯(lián)網(wǎng)最主要的威脅。任何一臺連入互聯(lián)網(wǎng)的計算機隨時都有可能感染病毒。因此,分析計算機病毒的傳播特性,進而提出相應(yīng)的防御策略已成為網(wǎng)絡(luò)信息安全領(lǐng)域一個首要而緊迫的任務(wù)。

關(guān)鍵詞:計算機病毒 網(wǎng)絡(luò) 檢測

我們知道利用電子郵件進行傳播的病毒在很大程度上依賴于用戶打開感染郵件的概率。如果用戶對于收到的感染郵件都置之不理,那么再厲害的病毒也無法得逞。因此,研究郵件病毒的防治策略,可以從病毒傳播的根源上入手,即從控制用戶打開感染郵件的概率入手。本文以控制病毒郵件的傳播速度和提示用戶謹慎打開可疑郵件兩個方面為突破口,研究基于網(wǎng)絡(luò)的郵件病毒防治方案。

一、利用郵件限速機制

無論多么狡猾的郵件病毒,都以在最短的時間內(nèi)傳播最多的病毒為目標,當然也就不可避免地引起流量異常,從而暴露它病毒的身份。一般情況下,郵件用戶不會在短時間內(nèi)給所有聯(lián)系人都發(fā)送相同的郵件。當然郵件群發(fā)是個特例。然而,病毒郵件會盡可能快地將郵件副本發(fā)送給大量不同的用戶,導(dǎo)致同一封郵件的發(fā)送速度大大超過了正常郵件的速度。例如,同一封郵件同時發(fā)往100個不同的護,這顯然是病毒的惡意攻擊。正常郵件與異常郵件在傳播速度上的不同為研究病毒檢測機制提供了一個很好的著手點。因此,本文在發(fā)送端服務(wù)器上新增了一個延遲隊列用于減慢可疑郵件的發(fā)送速度。

電子郵件用戶通過SM即發(fā)送端口將郵件發(fā)送給發(fā)送端郵件服務(wù)器。郵件服務(wù)器收到用戶發(fā)來的郵件后將其放入緩沖隊列中,等待發(fā)送。監(jiān)測進程則負責對緩沖隊列進行實時監(jiān)控,分析相同郵件的發(fā)送速度。郵件病毒企圖大量發(fā)送攜帶病毒的郵件,導(dǎo)致緩沖隊列迅速增長。通過檢測相同郵件在單位時間內(nèi)到達緩沖隊列的情況,可以分析出郵件的發(fā)送速度。若發(fā)送速度大于一個預(yù)先設(shè)定好的值,則認為該郵件是可疑的并將其放到延遲隊列中。若郵件發(fā)送速度在一個允許的范圍內(nèi),則認為該郵件是無惡意的,并將其放到發(fā)送隊列中。調(diào)度進程在經(jīng)過一段時間的延遲后會將暫存在延遲隊列中的郵件取出,放到發(fā)送隊列中,繼續(xù)其正常的發(fā)送過程。

二、完善風險評估機制

單獨依靠限制發(fā)送速度來抑制病毒的傳播是不夠的,病毒的速度雖然慢了,卻沒有從根本上清除。很多病毒都具有多種傳播方式,一旦某臺主機感染了病毒就可能以其它方式傳播出去。如:“熊貓燒香”就是一種集多種傳播方式于一身的病毒。因此,本文在接收端的郵件服務(wù)器上設(shè)置第二道關(guān)卡,進一步控制郵件病毒的傳播。本文擴展了一個風險評估模塊,用于計算所接收到的郵件的風險系數(shù),并給出用戶提示信息。

如圖1所示,風險評估模塊主要由三個子模塊組成,分別為傳輸延時評估模塊、發(fā)信人身份認證模塊和郵件轉(zhuǎn)發(fā)次數(shù)記錄模塊。當SMTP分組到達目的郵件服務(wù)器時,上述三個子模塊會對其進行病毒檢測,并將檢測結(jié)果送往風險級別評定模塊,最后發(fā)送模塊會將風險評定的詳細信息連同郵件一起發(fā)送到用戶的郵箱中。用戶收到郵件后可根據(jù)郵件系統(tǒng)的風險提示決定是否要打開郵件。

傳輸延時評估模塊主要用于計算郵件在網(wǎng)絡(luò)中的傳輸延時。若傳輸延時大于一個指定的值,則表明該郵件有可能曾被放入到延遲隊列中,故該郵件是可疑的。若傳輸延時小于或等于指定的值,表明該郵件是正常的郵件。發(fā)信人身份認證模塊用于判斷郵件是來自用戶熟悉的聯(lián)系人還是來自陌生人。郵件病毒制造者為了收集到大量用于傳播病毒的郵件地址,往往會將病毒發(fā)送給大量未知的郵件地址。若某一郵件地址不存在,則郵件系統(tǒng)會自動回復(fù),告之發(fā)送者該地址不存在。利用郵件系統(tǒng)的禮貌性,病毒制造者能夠快速地收集到大量有效的郵件地址。郵件轉(zhuǎn)發(fā)記錄模塊用于記錄同一封郵件在網(wǎng)絡(luò)中轉(zhuǎn)發(fā)的次數(shù)。正常情況下,一封郵件在網(wǎng)絡(luò)中傳輸?shù)拇螖?shù)為一,也就是說,當郵件到達其目的郵箱時,它的傳輸過程就結(jié)束了,該郵件不會再出現(xiàn)在網(wǎng)絡(luò)中。然而,病毒郵件就不會僅僅滿足于一次傳播過程。當攜帶有病毒的郵件到達某一目的地址并感染了目的主機時,它會將病毒郵件大量復(fù)制并轉(zhuǎn)發(fā)出去。因此,通過記錄郵件在網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)次數(shù),可以將正常郵件與異常郵件區(qū)分開來。

三、結(jié)論

本文提出的基于異常檢測策略的優(yōu)點在于它不僅能夠檢測出新病毒,而且不需要花費大量的時間和空間去管理病毒特征庫?？朔藗鹘y(tǒng)的基于特征碼檢測的缺陷,實現(xiàn)了智能的行為監(jiān)控。風險提示機制將郵件的處理決定權(quán)留給用戶。當用戶收到帶有風險提示信息的郵件后可通過其他方式來進一步確認郵件的可靠性。如:打電話給發(fā)件人確認。這樣做既沒有侵犯到用戶的個人隱私,也較好地利用了人的行為在病毒控制中的作用,避免了郵件病毒檢測與干預(yù)個人隱私的兩難境地。當然,該策略也并非完美無瑕,它的缺點是檢測存在著不確定性。因為這里的風險評估模塊僅僅是給出郵件可能存在病毒的概率。基于特征碼匹配的策略雖然對新病毒和病毒變種無能為力但是能夠準確地檢測出已知的病毒。因此,合理的設(shè)計方案是將上述兩種策略結(jié)合起來實現(xiàn)郵件病毒的監(jiān)控。

參考文獻:

[1]徐莉、張士軍,一種郵件服務(wù)器端郵件病毒防治方案.計算機應(yīng)用與軟件,2006(3).

[2]李江濤、韓臻,基于行為的病毒檢測系統(tǒng)的設(shè)計與實現(xiàn).計算機應(yīng)用,2009(8).