基于異常檢測的郵件病毒防治策略淺析

我們知道利用電子郵件進(jìn)行傳播的病毒在很大程度上依賴于用戶打開感染郵件的概率。如果用戶對于收到的感染郵件都置之不理，那么再厲害的病毒也無法得逞。因此，研究郵件病毒的防治策略，可以從病毒傳播的根源上入手，即從控制用戶打開感染郵件的概率入手。本文以控制病毒郵件的傳播速度和提示用戶謹(jǐn)慎打開可疑郵件兩個(gè)方面為突破口，研究基于網(wǎng)絡(luò)的郵件病毒防治方案。

一、利用郵件限速機(jī)制

無論多么狡猾的郵件病毒，都以在最短的時(shí)間內(nèi)傳播最多的病毒為目標(biāo)，當(dāng)然也就不可避免地引起流量異常，從而暴露它病毒的身份。一般情況下，郵件用戶不會在短時(shí)間內(nèi)給所有聯(lián)系人都發(fā)送相同的郵件，當(dāng)然郵件群發(fā)是個(gè)特例。然而病毒郵件會盡可能快地將郵件副本發(fā)送給大量不同的用戶，導(dǎo)致同一封郵件的發(fā)送速度大大超過了正常郵件的速度。例如:同一封郵件同時(shí)發(fā)往100個(gè)不同的用戶，這顯然是病毒的惡意攻擊。正常郵件與異常郵件在傳播速度上的不同為研究病毒檢測機(jī)制提供了一個(gè)很好的著手點(diǎn)。因此，本文在發(fā)送端服務(wù)器上新增了一個(gè)延遲隊(duì)列用于減慢可疑郵件的發(fā)送速度。

電子郵件用戶通過SM即發(fā)送端口將郵件發(fā)送給發(fā)送端郵件服務(wù)器。郵件服務(wù)器收到用戶發(fā)來的郵件后將其放入緩沖隊(duì)列中，等待發(fā)送。監(jiān)測進(jìn)程則負(fù)責(zé)對緩沖隊(duì)列進(jìn)行實(shí)時(shí)監(jiān)控，分析相同郵件的發(fā)送速度。郵件病毒企圖大量發(fā)送攜帶病毒的郵件，導(dǎo)致緩沖隊(duì)列迅速增長。通過檢測相同郵件在單位時(shí)間內(nèi)到達(dá)緩沖隊(duì)列的情況，可以分析出郵件的發(fā)送速度。若發(fā)送速度大于一個(gè)預(yù)先設(shè)定好的值，則認(rèn)為該郵件是可疑的并將其放到延遲隊(duì)列中。若郵件發(fā)送速度在一個(gè)允許的范圍內(nèi)，則認(rèn)為該郵件是無惡意的，并將其放到發(fā)送隊(duì)列中。調(diào)度進(jìn)程在經(jīng)過一段時(shí)間的延遲后會將暫存在延遲隊(duì)列中的郵件取出，放到發(fā)送隊(duì)列中，繼續(xù)其正常的發(fā)送過程。

二、完善風(fēng)險(xiǎn)評估機(jī)制

單獨(dú)依靠限制發(fā)送速度來抑制病毒的傳播是不夠的，病毒的速度雖然慢了，卻沒有從根本上清除。很多病毒都具有多種傳播方式，一旦某臺主機(jī)感染了病毒就可能以其它方式傳播出去。如“熊貓燒香”就是一種集多種傳播方式于一身的病毒。因此，本文在接收端的郵件服務(wù)器上設(shè)置第二道關(guān)卡，進(jìn)一步控制郵件病毒的傳播。本文擴(kuò)展了一個(gè)風(fēng)險(xiǎn)評估模塊，用于計(jì)算所接收到的郵件的風(fēng)險(xiǎn)系數(shù)，并給出用戶提示信息。

風(fēng)險(xiǎn)評估模塊主要由三個(gè)子模塊組成，分別為傳輸延時(shí)評估模塊、發(fā)信人身份認(rèn)證模塊和郵件轉(zhuǎn)發(fā)次數(shù)記錄模塊。當(dāng)SMTP分組到達(dá)目的郵件服務(wù)器時(shí)，上述三個(gè)子模塊會對其進(jìn)行病毒檢測，并將檢測結(jié)果送往風(fēng)險(xiǎn)級別評定模塊，最后發(fā)送模塊會將風(fēng)險(xiǎn)評定的詳細(xì)信息連同郵件一起發(fā)送到用戶的郵箱中。用戶收到郵件后可根據(jù)郵件系統(tǒng)的風(fēng)險(xiǎn)提示決定是否要打開郵件。

傳輸延時(shí)評估模塊主要用于計(jì)算郵件在網(wǎng)絡(luò)中的傳輸延時(shí)。若傳輸延時(shí)大于一個(gè)指定的值，則表明該郵件有可能曾被放入到延遲隊(duì)列中，故該郵件是可疑的。若傳輸延時(shí)小于或等于指定的值，表明該郵件是正常的郵件。發(fā)信人身份認(rèn)證模塊用于判斷郵件是來自用戶熟悉的聯(lián)系人還是來自陌生人。郵件病毒制造者為了收集到大量用于傳播病毒的郵件地址，往往會將病毒發(fā)送給大量未知的郵件地址。若某一郵件地址不存在，則郵件系統(tǒng)會自動回復(fù)，告之發(fā)送者該地址不存在。利用郵件系統(tǒng)的禮貌性，病毒制造者能夠快速地收集到大量有效的郵件地址。郵件轉(zhuǎn)發(fā)記錄模塊用于記錄同一封郵件在網(wǎng)絡(luò)中轉(zhuǎn)發(fā)的次數(shù)。正常情況下，一封郵件在網(wǎng)絡(luò)中傳輸?shù)拇螖?shù)為一，也就是說，當(dāng)郵件到達(dá)其目的郵箱時(shí)，它的傳輸過程就結(jié)束了，該郵件不會再出現(xiàn)在網(wǎng)絡(luò)中。然而，病毒郵件就不會僅僅滿足于一次傳播過程。當(dāng)攜帶有病毒的郵件到達(dá)某一目的地址并感染了目的主機(jī)時(shí)，它會將病毒郵件大量復(fù)制并轉(zhuǎn)發(fā)出去。因此，通過記錄郵件在網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)次數(shù)，可以將正常郵件與異常郵件區(qū)分開來。

三、結(jié)論

本文提出的基于異常檢測策略的優(yōu)點(diǎn)在于它不僅能夠檢測出新病毒，而且不需要花費(fèi)大量的時(shí)間和空間去管理病毒特征庫。克服了傳統(tǒng)的基于特征碼檢測的缺陷，實(shí)現(xiàn)了智能的行為監(jiān)控。當(dāng)然，該策略也并非完美無瑕，它的缺點(diǎn)是檢測存在著不確定性。因?yàn)檫@里的風(fēng)險(xiǎn)評估模塊僅僅是給出郵件可能存在病毒的概率。基于特征碼匹配的策略雖然對新病毒和病毒變種無能為力但是能夠準(zhǔn)確地檢測出已知的病毒。因此，合理的設(shè)計(jì)方案是將上述兩種策略結(jié)合起來實(shí)現(xiàn)郵件病毒的監(jiān)控。

(作者單位:山東省萊蕪市高級技工學(xué)校)