淺談基于異常檢測的郵件病毒防治策略

方　智

摘要:當前,利用網絡進行傳播的病毒已成為互聯網最主要的威脅。任何一臺連入互聯網的計算機隨時都有可能感染病毒。因此,分析計算機病毒的傳播特性,進而提出相應的防御策略已成為網絡信息安全領域一個首要而緊迫的任務。

關鍵詞:計算機病毒 網絡 檢測

我們知道利用電子郵件進行傳播的病毒在很大程度上依賴于用戶打開感染郵件的概率。如果用戶對于收到的感染郵件都置之不理,那么再厲害的病毒也無法得逞。因此,研究郵件病毒的防治策略,可以從病毒傳播的根源上入手,即從控制用戶打開感染郵件的概率入手。本文以控制病毒郵件的傳播速度和提示用戶謹慎打開可疑郵件兩個方面為突破口,研究基于網絡的郵件病毒防治方案。

一、利用郵件限速機制

無論多么狡猾的郵件病毒,都以在最短的時間內傳播最多的病毒為目標,當然也就不可避免地引起流量異常,從而暴露它病毒的身份。一般情況下,郵件用戶不會在短時間內給所有聯系人都發送相同的郵件。當然郵件群發是個特例。然而,病毒郵件會盡可能快地將郵件副本發送給大量不同的用戶,導致同一封郵件的發送速度大大超過了正常郵件的速度。例如,同一封郵件同時發往100個不同的護,這顯然是病毒的惡意攻擊。正常郵件與異常郵件在傳播速度上的不同為研究病毒檢測機制提供了一個很好的著手點。因此,本文在發送端服務器上新增了一個延遲隊列用于減慢可疑郵件的發送速度。

電子郵件用戶通過SM即發送端口將郵件發送給發送端郵件服務器。郵件服務器收到用戶發來的郵件后將其放入緩沖隊列中,等待發送。監測進程則負責對緩沖隊列進行實時監控,分析相同郵件的發送速度。郵件病毒企圖大量發送攜帶病毒的郵件,導致緩沖隊列迅速增長。通過檢測相同郵件在單位時間內到達緩沖隊列的情況,可以分析出郵件的發送速度。若發送速度大于一個預先設定好的值,則認為該郵件是可疑的并將其放到延遲隊列中。若郵件發送速度在一個允許的范圍內,則認為該郵件是無惡意的,并將其放到發送隊列中。調度進程在經過一段時間的延遲后會將暫存在延遲隊列中的郵件取出,放到發送隊列中,繼續其正常的發送過程。

二、完善風險評估機制

單獨依靠限制發送速度來抑制病毒的傳播是不夠的,病毒的速度雖然慢了,卻沒有從根本上清除。很多病毒都具有多種傳播方式,一旦某臺主機感染了病毒就可能以其它方式傳播出去。如:“熊貓燒香”就是一種集多種傳播方式于一身的病毒。因此,本文在接收端的郵件服務器上設置第二道關卡,進一步控制郵件病毒的傳播。本文擴展了一個風險評估模塊,用于計算所接收到的郵件的風險系數,并給出用戶提示信息。

如圖1所示,風險評估模塊主要由三個子模塊組成,分別為傳輸延時評估模塊、發信人身份認證模塊和郵件轉發次數記錄模塊。當SMTP分組到達目的郵件服務器時,上述三個子模塊會對其進行病毒檢測,并將檢測結果送往風險級別評定模塊,最后發送模塊會將風險評定的詳細信息連同郵件一起發送到用戶的郵箱中。用戶收到郵件后可根據郵件系統的風險提示決定是否要打開郵件。

傳輸延時評估模塊主要用于計算郵件在網絡中的傳輸延時。若傳輸延時大于一個指定的值,則表明該郵件有可能曾被放入到延遲隊列中,故該郵件是可疑的。若傳輸延時小于或等于指定的值,表明該郵件是正常的郵件。發信人身份認證模塊用于判斷郵件是來自用戶熟悉的聯系人還是來自陌生人。郵件病毒制造者為了收集到大量用于傳播病毒的郵件地址,往往會將病毒發送給大量未知的郵件地址。若某一郵件地址不存在,則郵件系統會自動回復,告之發送者該地址不存在。利用郵件系統的禮貌性,病毒制造者能夠快速地收集到大量有效的郵件地址。郵件轉發記錄模塊用于記錄同一封郵件在網絡中轉發的次數。正常情況下,一封郵件在網絡中傳輸的次數為一,也就是說,當郵件到達其目的郵箱時,它的傳輸過程就結束了,該郵件不會再出現在網絡中。然而,病毒郵件就不會僅僅滿足于一次傳播過程。當攜帶有病毒的郵件到達某一目的地址并感染了目的主機時,它會將病毒郵件大量復制并轉發出去。因此,通過記錄郵件在網絡中的轉發次數,可以將正常郵件與異常郵件區分開來。

三、結論

本文提出的基于異常檢測策略的優點在于它不僅能夠檢測出新病毒,而且不需要花費大量的時間和空間去管理病毒特征庫。克服了傳統的基于特征碼檢測的缺陷,實現了智能的行為監控。風險提示機制將郵件的處理決定權留給用戶。當用戶收到帶有風險提示信息的郵件后可通過其他方式來進一步確認郵件的可靠性。如:打電話給發件人確認。這樣做既沒有侵犯到用戶的個人隱私,也較好地利用了人的行為在病毒控制中的作用,避免了郵件病毒檢測與干預個人隱私的兩難境地。當然,該策略也并非完美無瑕,它的缺點是檢測存在著不確定性。因為這里的風險評估模塊僅僅是給出郵件可能存在病毒的概率。基于特征碼匹配的策略雖然對新病毒和病毒變種無能為力但是能夠準確地檢測出已知的病毒。因此,合理的設計方案是將上述兩種策略結合起來實現郵件病毒的監控。

參考文獻:

[1]徐莉、張士軍,一種郵件服務器端郵件病毒防治方案.計算機應用與軟件,2006(3).

[2]李江濤、韓臻,基于行為的病毒檢測系統的設計與實現.計算機應用,2009(8).