浅谈基于异常检测的邮件病毒防治策略

　　摘要:当前,利用网络进行传播的病毒已成为互联网最主要的威胁。任何一台连入互联网的计算机随时都有可能感染病毒。因此,分析计算机病毒的传播特性,进而提出相应的防御策略已成为网络信息安全领域一个首要而紧迫的任务。
　　关键词:计算机病毒 网络 检测
　　
　　我们知道利用电子邮件进行传播的病毒在很大程度上依赖于用户打开感染邮件的概率。如果用户对于收到的感染邮件都置之不理,那么再厉害的病毒也无法得逞。因此,研究邮件病毒的防治策略,可以从病毒传播的根源上入手,即从控制用户打开感染邮件的概率入手。本文以控制病毒邮件的传播速度和提示用户谨慎打开可疑邮件两个方面为突破口,研究基于网络的邮件病毒防治方案。
　　
　　一、利用邮件限速机制
　　
　　无论多么狡猾的邮件病毒,都以在最短的时间内传播最多的病毒为目标,当然也就不可避免地引起流量异常,从而暴露它病毒的身份。一般情况下,邮件用户不会在短时间内给所有联系人都发送相同的邮件。当然邮件群发是个特例。然而,病毒邮件会尽可能快地将邮件副本发送给大量不同的用户,导致同一封邮件的发送速度大大超过了正常邮件的速度。例如,同一封邮件同时发往100个不同的护,这显然是病毒的恶意攻击。正常邮件与异常邮件在传播速度上的不同为研究病毒检测机制提供了一个很好的着手点。因此,本文在发送端服务器上新增了一个延迟队列用于减慢可疑邮件的发送速度。
　　电子邮件用户通过SM即发送端口将邮件发送给发送端邮件服务器。邮件服务器收到用户发来的邮件后将其放入缓冲队列中,等待发送。监测进程则负责对缓冲队列进行实时监控,分析相同邮件的发送速度。邮件病毒企图大量发送携带病毒的邮件,导致缓冲队列迅速增长。通过检测相同邮件在单位时间内到达缓冲队列的情况,可以分析出邮件的发送速度。若发送速度大于一个预先设定好的值,则认为该邮件是可疑的并将其放到延迟队列中。若邮件发送速度在一个允许的范围内,则认为该邮件是无恶意的,并将其放到发送队列中。调度进程在经过一段时间的延迟后会将暂存在延迟队列中的邮件取出,放到发送队列中,继续其正常的发送过程。
　　
　　二、完善风险评估机制
　　
　　单独依靠限制发送速度来抑制病毒的传播是不够的,病毒的速度虽然慢了,却没有从根本上清除。很多病毒都具有多种传播方式,一旦某台主机感染了病毒就可能以其它方式传播出去。如:“熊猫烧香”就是一种集多种传播方式于一身的病毒。因此,本文在接收端的邮件服务器上设置第二道关卡,进一步控制邮件病毒的传播。本文扩展了一个风险评估模块,用于计算所接收到的邮件的风险系数,并给出用户提示信息。
　　 　　如图1所示,风险评估模块主要由三个子模块组成,分别为传输延时评估模块、发信人身份认证模块和邮件转发次数记录模块。当SMTP分组到达目的邮件服务器时,上述三个子模块会对其进行病毒检测,并将检测结果送往风险级别评定模块,最后发送模块会将风险评定的详细信息连同邮件一起发送到用户的邮箱中。用户收到邮件后可根据邮件系统的风险提示决定是否要打开邮件。
　　传输延时评估模块主要用于计算邮件在网络中的传输延时。若传输延时大于一个指定的值,则表明该邮件有可能曾被放入到延迟队列中,故该邮件是可疑的。若传输延时小于或等于指定的值,表明该邮件是正常的邮件。发信人身份认证模块用于判断邮件是来自用户熟悉的联系人还是来自陌生人。邮件病毒制造者为了收集到大量用于传播病毒的邮件地址,往往会将病毒发送给大量未知的邮件地址。若某一邮件地址不存在,则邮件系统会自动回复,告之发送者该地址不存在。利用邮件系统的礼貌性,病毒制造者能够快速地收集到大量有效的邮件地址。邮件转发记录模块用于记录同一封邮件在网络中转发的次数。正常情况下,一封邮件在网络中传输的次数为一,也就是说,当邮件到达其目的邮箱时,它的传输过程就结束了,该邮件不会再出现在网络中。然而,病毒邮件就不会仅仅满足于一次传播过程。当携带有病毒的邮件到达某一目的地址并感染了目的主机时,它会将病毒邮件大量复制并转发出去。因此,通过记录邮件在网络中的转发次数,可以将正常邮件与异常邮件区分开来。