基于異常檢測(cè)的郵件病毒防治方案

本文提出了一種專(zhuān)門(mén)針對(duì)電子郵件病毒的異常檢測(cè)策略。該策略不僅考慮了網(wǎng)絡(luò)流量的異常，而且將郵件的行為異常也考慮進(jìn)來(lái)，克服了現(xiàn)有策略的不足，且易于管理和維護(hù)。

一、現(xiàn)有病毒檢測(cè)策略的不足

特征碼匹配技術(shù)是當(dāng)前反病毒軟件的主流技術(shù)。這種檢測(cè)策略有兩個(gè)明顯的缺點(diǎn)。一是這種策略具有滯后性。二是不能檢測(cè)出新病毒及已有病毒的變種。

權(quán)限控制技術(shù)與特征碼掃描技術(shù)相比，則要智能的多，它具有一定的未知病毒檢測(cè)能力。但在具體實(shí)現(xiàn)上，該技術(shù)是相當(dāng)復(fù)雜的。

完整性技術(shù)也能夠發(fā)現(xiàn)未知的病毒，但是，它不能識(shí)別病毒類(lèi)，不能報(bào)出病毒名稱(chēng)，該策略的誤報(bào)率較高，且對(duì)隱蔽性病毒的檢測(cè)無(wú)效。

基于網(wǎng)絡(luò)的誤用檢測(cè)技術(shù)由于也是通過(guò)特征碼匹配來(lái)識(shí)別病毒的，因而存在著不能對(duì)付未知或變種病毒的缺點(diǎn)。

二、基于異常檢測(cè)的防治方案

我們知道，利用電子郵件進(jìn)行傳播的病毒在很大程度上依賴(lài)于用戶(hù)打開(kāi)感染郵件的概率。如果用戶(hù)對(duì)于收到的感染郵件都置之不理，那么再厲害的病毒也無(wú)法得逞。因此，研究郵件病毒的防治策略，可以從病毒傳播的根源上入手，即從控制用戶(hù)打開(kāi)感染郵件的概率入手。

本文以控制病毒郵件的傳播速度和提示用戶(hù)謹(jǐn)慎打開(kāi)可疑郵件兩個(gè)方面為突破口，研究基于網(wǎng)絡(luò)的郵件病毒防治方案。該方案的基本架構(gòu)如圖1所示，在發(fā)送端的郵件服務(wù)器上，可疑郵件的發(fā)送速度被強(qiáng)制限制在一個(gè)可接受的范圍內(nèi)；當(dāng)郵件到達(dá)目的接收端的服務(wù)器后，相應(yīng)的風(fēng)險(xiǎn)評(píng)估模塊會(huì)判斷該郵件是否存在風(fēng)險(xiǎn)。若存在，則將風(fēng)險(xiǎn)提示信息連同郵件一起發(fā)送給用戶(hù)；若不存在，則接收端服務(wù)器按正常程序處理該郵件。

2.1郵件限速機(jī)制

無(wú)論多么狡猾的郵件病毒，都以在最短的時(shí)間內(nèi)傳播最多的病毒為目標(biāo)，當(dāng)然也就不可避免地引起流量異常，從而暴露它病毒的身份。正常郵件與異常郵件在傳播速度上的不同為研究病毒檢測(cè)機(jī)制提供了一個(gè)很好的著手點(diǎn)。因此，本文在發(fā)送端服務(wù)器上新增了一個(gè)延遲隊(duì)列用于減慢可疑郵件的發(fā)送速度。如圖2所示。

電子郵件用戶(hù)通過(guò)SM即發(fā)送端口將郵件發(fā)送給發(fā)送端郵件服務(wù)器。郵件服務(wù)器收到用戶(hù)發(fā)來(lái)的郵件后將其放入緩沖隊(duì)列中，等待發(fā)送。監(jiān)測(cè)進(jìn)程則負(fù)責(zé)對(duì)緩沖隊(duì)列進(jìn)行實(shí)時(shí)監(jiān)控，分析相同郵件的發(fā)送速度\"郵件病毒企圖大量發(fā)送攜帶病毒的郵件，導(dǎo)致緩沖隊(duì)列迅速增長(zhǎng)。通過(guò)檢測(cè)相同郵件在單位時(shí)間內(nèi)到達(dá)緩沖隊(duì)列的情況，可以分析出郵件的發(fā)送速度\"若發(fā)送速度大于一個(gè)預(yù)先設(shè)定好的值，則認(rèn)為該郵件是可疑的并將其放到延遲隊(duì)列中。若郵件發(fā)送速度在一個(gè)允許的范圍內(nèi)，則認(rèn)為該郵件是無(wú)惡意的，并將其放到發(fā)送隊(duì)列中。調(diào)度進(jìn)程在經(jīng)過(guò)一段時(shí)間的延遲后會(huì)將暫存在延遲隊(duì)列中的郵件取出，放到發(fā)送隊(duì)列中，繼續(xù)其正常的發(fā)送過(guò)程。

郵件限速機(jī)制的目地是最大限度地抑制病毒的傳播速度且最小程度地影響正常的電子郵件使用。

2.2風(fēng)險(xiǎn)評(píng)估機(jī)制

單獨(dú)依靠限制發(fā)送速度來(lái)抑制病毒的傳播是不夠的，病毒的速度雖然慢了，卻沒(méi)有從根本上清除。很多病毒都具有多種傳播方式，一旦某臺(tái)主機(jī)感染了病毒就可能以其它方式傳播出去。因此，本文在接收端的郵件服務(wù)器上設(shè)置第二道關(guān)卡，進(jìn)一步控制郵件病毒的傳播。本文擴(kuò)展了一個(gè)風(fēng)險(xiǎn)評(píng)估模塊，用于計(jì)算所接收到的郵件的風(fēng)險(xiǎn)系數(shù)，并給出用戶(hù)提示信息。如圖3所示，風(fēng)險(xiǎn)評(píng)估模塊主要由三個(gè)子模塊組成，分別為傳輸延時(shí)評(píng)估模塊、發(fā)信人身份認(rèn)證模塊和郵件轉(zhuǎn)發(fā)次數(shù)記錄模塊。當(dāng)SMTP分組到達(dá)目的郵件服務(wù)器時(shí)，上述三個(gè)子模塊會(huì)對(duì)其進(jìn)行病毒檢測(cè)，并將檢測(cè)結(jié)果送往風(fēng)險(xiǎn)級(jí)別評(píng)定模塊，最后發(fā)送模塊會(huì)將風(fēng)險(xiǎn)評(píng)定的詳細(xì)信息連同郵件一起發(fā)送到用戶(hù)的郵箱中。用戶(hù)收到郵件后可根據(jù)郵件系統(tǒng)的風(fēng)險(xiǎn)提示決定是否要打開(kāi)郵件。

（作者單位：宜賓職業(yè)技術(shù)學(xué)院）